App-Test

Musikstreaming-App Spotify im Test (Android)

Ein Artikel von , veröffentlicht am 15.11.2018
Bild: CC0 Pixabay / geralt

Beinahe 200 Millionen Menschen nutzen den Musikstreaming-Dienst Spotify. Nutzungsdaten gehen dabei nicht nur an Spotify und deren Partnerunternehmen, sondern auch an Facebook, Adjust und etliche andere Tracking-Dienste. Spotifiy klärt aber vergleichweise transparent darüber auf.

Version

8.4.77.779

Betriebssysteme

Android

Links

Apple App Store (iOS)
Google Play (Android)
Weblink

Hinweis: Den Test der iOS-App von Spotify finden Sie hier.

Was ist Spotify?

Spotify ist ein populärer Musikstreaming-Dienst, der sich auf dem PC und über Smartphone-Apps nutzen lässt. Nach eigenen Angaben stehen insgesamt mehr als 40 Millionen Lieder zum Streamen bereit, 191 Millionen Menschen aus 65 Ländern nutzen den Musikdienst (Stand November 2018).

Viele Nutzer greifen mobil auf Spotify zu - die Android-App rangiert im Play-Store in der Kategorie +100 Millionen Downloads und kommt auf 13 Millionen Bewertungen.

Es gibt eine kostenlose Version mit Werbeunterbrechungen zwischen einzelnen Songs sowie verschiedenen Funktionseinschränkungen. Die Bezahlversion ist werbefrei und ermöglicht es, Songs auf das Smartphone herunterzuladen, um sie offline zu hören. Nach Angaben des Unternehmens haben 46 Prozent der Nutzerinnen und Nutzer ein Bezahl-Abonnement.

Die Bezahlversion kostet, nach einem 30-tägigen Probemonat, monatlich 9,90 Euro. Ermäßigungen gibt es für Familien und Studierende.

Diensteanbieterin ist die Spotify AB im schwedischen Stockholm. Die Firmenmutter, Spotify Technology S.A., sitzt allerdings in Luxemburg.

Spotify gibt es seit 2006, das Unternehmen begann als Startup in Schweden. Im April 2018 ist Spotify Technology S.A. an die Börse gegangen. Der Marktwert liegt heute bei etwa 23 Milliarden Euro. Im Jahr 2017 hat Spotify etwa vier Milliarden Euro Umsatz gemacht.

Der Musikstreaming-Landschaft haben wir einen eigenen Hintergrundartikel gewidmet: Musik-Streaming – Musikhören mit eingebauter Überwachung.

Test der Android-App im Überblick

Spotify verzichtet darauf, bestimmte Zugriffsrechte, etwa den Zugriff auf den Standort oder das Telefonbuch, zur Bedingung zu machen. Das ist positiv.

Die Daten, die an den Hauptdienst Spotify gehen, sind plausibel: Spotify erfasst die Anmeldedaten sowie Nutzungsdaten, etwa Suchanfragen zu bestimmten Liedern oder Wiedergabelisten.

Wie viele Apps teilt auch Spotify die Daten von Nutzern mit einer Reihe von Drittanbietern. An Facebook, an die Google-Tochter Crashlytics und an den Werbedienstleister Adjust beispielsweise geht die Werbe-ID - eine eindeutige Kennnummer, mit der Nutzerprofile verknüpft werden können.

Spotify informiert in der Datenschutzerklärung transparent über die Erfassung und Verwendung von Daten, nennt allerdings nicht die eingebundenen Drittanbieter. Da könnte der Dienst noch nachbessern.

Verwirrend finden wir, dass Spotify in der Datenschutzerklärung einen Zugriff auf den genauen Standort des Smartphones erwähnt, obwohl die App diese Berechtigung gar nicht anfordert.

Unser Test im Detail

Getestet haben wir die Version 8.4.77.779, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Getestet wurde für die Android-Version 7.1.2

Die technische Analyse führte Mike Kuketz durch.

Übermittelte Informationen im Überblick:

Welche Berechtigungen fordert die Android-App?

Die App lässt sich im normalen Betrieb auch ohne die zustimmungspflichtigen Berechtigungen nutzen.

Tippen Sie auf die jeweilige Berechtigung, um zu erfahren, was es damit auf sich hat, oder sehen Sie die ganze Liste in unserem Beitrag App-Berechtigungen entschlüsselt bei Android.

* Anmerkung: Spotify erwähnt diese Berechtigungen in der Datenschutzerklärung, die in der App verlinkt ist. Diese Zugriffsberechtigungen sind zustimmungspflichtig. Das heißt: die App kann nur darauf zugreifen, wenn Nutzer dem über ein Dialogfenster in der App explizit zustimmen. Wir konnten bei unserem Test allerdings nicht sehen, dass die App die Berechtiungen tatsächlich anfordert.

Wohin verbindet sich Spotify?

Die gesamte Kommunikation erfolgt TLS-verschlüsselt, auf zusätzliche Sicherheit durch Cert-Pinning wird verzichtet.

Was TLS und Cert-Pinning ist, erklären wir in unserem Beitrag SSL/TLS: Fragen und Antworten.

Hauptdienst Spotify: Neben technischen Informationen, wie den Übertragungszeitpunkt, übermittelt die App unter anderem folgende Informationen direkt beim Start:

  • Android-Version
  • Hersteller und Modell des Smartphones
  • Sprache
  • Google Werbe-ID

Wenn man sich bei Spotify registriert, gehen folgende Daten an den Dienst:

  • E-Mail-Adresse
  • Passwort
  • Basisinformationen wie Geburtsdatum und Geschlecht
  • die Information, dass man in die Datenschutzerklärung einwilligt

Wenn man angemeldet ist, sendet die App alle Nutzungsdaten an Spotify: jedes gespielte Lied, Song und Playlist und jede Suchanfrage innerhalb der App. Während der Nutzung übermittelt die App zudem immer wieder verschiedene Basisdaten wie

  • Android-Version
  • Smartphone-Modell
  • Device ID, die Seriennummer des Geräts.

Facebook (graph.facebook.com): Die App übermittelt direkt nach dem Start und in wiederkehrenden Abständen unter anderem diese Daten an Facebook:

  • Google Werbe-ID
  • Basisdaten wie Gerätemodell, Land, Zeitzone und Bildschirmauflösung

Für den Datenfluss ist es unerheblich, ob der Nutzer der Spotify-Android-App bei Facebook ein Profil hat oder nicht.

Crashlytics: Crashlytics gehört zum Google-Konzern. Der Analysedienst für App-Abstürze übermittelt folgende Informationen an den Dienst:

  • Google Werbe-ID
  • Android-ID
  • Basisinformationen wie Gerätemodell, Build-Version und Android-Version

Die Datenübertragung passiert auch ohne dass die App abstürzt. Die Übermittlung der Google Werbe-ID sowie der Android-ID ist unserer Meinung nach für die Diensterbringung nicht notwendig.

Anbieter im Zusammenhang mit Werbeeinspielung: Die kostenlose Version der Android-App von Spotify finanziert sich über Werbung. Beim Einspielen von Werbung in die App konnten wir Datenflüsse zu folgenden Tracking- und Werbeunternehmen beobachten:

  • Scorecard Research: Der Dienst des Marktforschungsunternehmens Full Circle Studies Inc. analysiert vor allem die Internet-Nutzung mit dem Browser, durch Umfragen und mithilfe von Cookies. An den Dienst gehen Basisinformationen wie die App-Version, die Bildschirmauflösung und die Nutzungshäufigkeit der App.
  • Google Doubleclick: Doubleblick ist eine große Werbeplattform von Google. Den Datenfluss konnten wir nicht analysieren, da er durch eine zusätzliche Verschlüsselung abgeschirmt war.
  • Meetrics GmbH: Das Berliner Unternehmen überwacht die Sichtbarkeit von Anzeigen. Auch den Datenfluss zu Meetrics konnten wir nicht analysieren, da er durch eine zusätzliche Verschlüsselung abgeschirmt war.

Hinweis: Es kann nicht ausgeschlossen werden, dass Spotify noch mit weiteren Anbietern zusammenarbeitet.

Adjust: Adjust ist ein Tracking-Dienstleister, der im Auftrag der App-Betreiber Nutzerverhalten und Marketingkampagnen auswertet. Gegründet wurde Adjust von dem deutschen Unternehmer Christian Henschel, Firmensitz ist Berlin und San Francisco. Adjust ließ sich durch eine Überprüfung der Firma ePrivacyseal GmbH bestätigen, dass man in Übereinstimmung mit der EU-Datenschutzverordnung arbeitet. Adjust erhält beim Betrieb der App folgende Daten:

  • Google Werbe-ID
  • Betriebssystemversion (detailliert)
  • Android-UUID, ein einmalig generierte Identifier bei App-Installation

Der Tracker verfolgt zudem praktisch alles, was der Nutzer innerhalb der App antippt oder eingibt, beispielsweise die Suchanfragen nach einer bestimmten Band.

Google Push-Dienst: An den Google-Dienst, der benötigt wird, um Push-Nachrichten auf das Smartphone zu übermitteln (Google Cloud Messaging), gehen unter anderem

  • die Basisinformationen App-Name und App-Version

Außerdem ist laut Einstellungen der Android-App eine optionale Integration des Navigationsdienstes Waze vorgesehen, der zum Google-Konzern gehört. Die Integration ermöglicht es, Musik über Spotify innerhalb von Waze zu abzuspielen und innerhalb von Spotify den Navigationsdienst zu nutzen. In einem Mobilsicher-Test schnitt Waze aufgrund seines Datenhungers nicht gut ab.

Wie sicher speichert die App meine Daten?

Nach der Registrierung via E-Mail-Adresse legt Spotify diese lokal auf dem Gerät ab, zusammen mit einem sogenannten „Access Token“. Über den kann Spotify den Nutzer wiedererkennen und darüber eine Authentifizierung am Dienst vornehmen. Das ist ein übliches Verfahren und vermeidet die lokale Speicherung des Passworts.

Was sagt die Datenschutzerklärung?

Die im Play-Store verlinkte Datenschutzerklärung verweist auf die Webseite von Spotify. Innerhalb der App ist die Datenschutzerklärung über den Navigationspfad Einstellungen > Datenschutzerklärung erreichbar.

Die aktuelle Datenschutzerklärung ist am 25. Mai 2018 in Kraft getreten, an dem Tag, an dem in der EU die Datenschutz-Grundverordnung (DSGVO) scharf gestellt wurde. Die Erklärung ist sehr ausführlich und wäre ausgedruckt etwa 14 Textseiten lang.

Sie schildert systematisch und übersichtlich in Tabellenform die Arten von Daten, die Spotify erfasst.

In der Kategorie "Weitere mobile Daten" schreibt Spotify, dass die App - nach expliziter Einwilligung durch die Nutzer - möglicherweise auf den genauen Standort des Smartphones zugreift. Das macht die App im Test allerdings gar nicht. Wir fragen uns, wieso Spotify diese Datenzugriffe dennoch erwähnt. Das sorgt für Verwirrung und nicht für Klarheit.

Laut Datenschutzerklärung können personenbezogene Daten an Spotify-Töchter und an externe Auftragnehmer außerhalb der EU gegeben werden.

Leider erwähnt die Datenschutzerklärung nicht, welche Drittanbieter Daten aus der App-Nutzung erhalten. Die Namen von Dienstleistern wie Crashlytics oder Adjust tauchen in der Erklärung nicht auf. In der Empfängerkategorie „Diensteanbieter und andere“ schreibt Spotify nur:

„Wir nutzen Vermarktungs- und Werbepartner, um Ihnen individueller angepasste Inhalte zu zeigen oder uns zu helfen, Ihre Nutzung des Spotify Service nachzuvollziehen, um Ihnen einen besseren Service zur Verfügung zu stellen.“

Es zählt noch lange nicht zum Standard, dass in Datenschutzerklärungen alle Empfänger von Nutzerdaten aufgezählt werden. Es gibt aber Apps, die das schon praktizieren und somit Spotify in puncto Transparenz voraus sind.

Was gibt es sonst noch? Im Artikel Musik-Streaming: Musikhören mit eingebauter Überwachung listen wir weitere Streaming-Anbieter auf.

Geschrieben von

E-Mail

hinweis@mobilsicher.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Start mit Android 

Wieso Updates?

Wöchentliche Updates für Apps, monatliche für das Betriebssystem, jedes Jahr ein großes Upgrade auf eine neue Version. Warum braucht man alle diese Updates überhaupt? Ganz einfach: Aktuelle Software ist sicherer. Wie sie aktuelle Versionen von Apps und Systemen bekommen, erfahren Sie hier.

Mehr
Ratgeber 

Datenschutz bei Chrome (iOS)

Chrome ist auch auf iPhones und iPads ein häufig genutzter Browser. Wie er mit Daten umgehen soll, die er während des Surfens sammelt, kann man – ähnlich wie beim Apple-Browser Safari – teils in den Betriebssystemeinstellungen, teils in den Browsereinstellungen konfigurieren.

Mehr
Ratgeber 

Wir suchen Verstärkung

Schon lange keinen neuen Beiträge mehr auf mobilsicher.de gesehen? Kein Wunder - unser Team hat Winterpause gemacht. Ab Mai geht es bei uns mit neuen Inhalten weiter. Dafür suchen wir noch Verstärkung:

Mehr
Betrug und Phishing 

So arbeiten Lösegeld-Programme (Ransomware)

Lösegeld-Programme, auch Ransomware genannt, sind bei Mobilgeräten noch relativ neu. Sie sperren oder verschlüsseln das Gerät, so dass es sich nicht mehr bedienen lässt. Für die Entsperrung oder Entschlüsselung wird dann Geld verlangt.

Mehr