Musikstreaming-App Spotify im Test (iOS)

Logo Spotify

Spotify auf iOS: Beinahe 200 Millionen Menschen streamen über Spotify Musik. Viele von ihnen greifen per Smartphone auf Spotify zu, auch per iPhone und iPad. Wir haben den Datenfluss und die Datenschutzpraxis der iOS-App getestet.

Version
8.4.78
Betriebssystem
iOS
App-Store- / Weblinks
Apple App Store (iOS)
Google Play (Android)
Weblink
Veröffentlicht am
Review Autor
Schlagworte
Musik · Musik-Streaming · Spot
Drucken

Auf einen Blick

Was ist Spotify?

Spotify ist ein populärer Musikstreaming-Dienst, der sich auf dem PC und über Smartphone-Apps nutzen lässt. Nach Angaben des Unternehmens stehen insgesamt mehr als 40 Millionen Lieder zum Streamen bereit, 191 Millionen Menschen aus 65 Ländern nutzen den Musikdienst (Stand November 2018).

Nach Angaben von Spotify haben 46 Prozent der Nutzerinnen und Nutzer ein Bezahl-Abonnement. Die kostenlose Version sieht Werbeunterbrechungen zwischen einzelnen Songs sowie verschiedene Funktionseinschränkungen vor. Die Bezahlversion ist werbefrei und ermöglicht es, Songs auf das Smartphone herunterzuladen, um sie offline zu hören.

Die Bezahlversion kostet, nach einem 30-tägigen Probemonat, monatlich 9,90 Euro. Für Familien und Studenten gibt es besondere Tarife. Sie lässt sich nicht direkt über die iOS-App erwerben, sondern nur über den Browserzugriff auf Spotify.com. Damit will Spotify, wie auf dieser Erklärseite beschrieben, die Zusatzgebühr umgehen, die Apple bei In-App-Käufen erhebt.

Diensteanbieterin ist die Spotify AB im schwedischen Stockholm. Die Firmenmutter, Spotify Technology S.A., sitzt allerdings in Luxemburg.

Spotify gibt es seit 2006, das Unternehmen startete als kleines Startup in Schweden. Im April 2018 ist Spotify Technology S.A. an die Börse gegangen. Der Marktwert liegt heute bei etwa 23 Milliarden Euro. Im Jahr 2017 hat Spotify etwa vier Milliarden Euro Umsatz gemacht.

Unser Test im Überblick

Spotify verzichtet darauf, bestimmte Zugriffsrechte, etwa den Zugriff auf den Standort oder das Telefonbuch, zur Bedingung für die Nutzung zu machen. Das ist positiv.

Die Daten, die an den Hauptdienst Spotify gehen, sind plausibel: Spotify erfasst die Anmeldedaten sowie Nutzungsdaten, etwa Suchanfragen zu bestimmten Liedern oder Wiedergabelisten.

Spotify informiert in der Datenschutzerklärung transparent über die Erfassung und Verwendung von übermittelten Daten nennt aber nicht die eingebundenen Drittanbieter.

Verwirrend finden wir, dass Spotify in der Datenschutzerklärung einen Zugriff auf den genauen Standort des Smartphones erwähnt, obwohl die App diese Berechtigung gar nicht anfordert.

Unser Test im Detail

Getestet haben wir die Version 8.4.78, die wir aus dem iTunes App-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Getestet wurde für die iOS-Version 11.1.2.

Die technische Analyse führte Mike Kuketz durch.

Übermittelte Informationen im Überblick:

  • Apple Werbe-ID (IDFA)
  • Anmeldedaten
  • iOS-Version
  • Gerätemodell und -hersteller
  • Sprache

Welche Berechtigungen fordert die App?

Die App ist sehr sparsam beim Einfordern von Berechtigungen. Spotify fragt nach der Installation nur, ob die App Mitteilungen senden kann. Die App lässt sich auch nutzen, wenn man das verweigert. Andere Zugriffsberechtigungen erzwingt die App nicht, wenn man sie nutzen will.

Laut der Datenschutzerklärung nimmt die Spotify-App möglicherweise folgende Zugriffe vor:

  • auf die Kamera
  • auf das Mikrofon
  • auf den Standort
  • auf das Telefonbuch

Die App fragt auch Daten von Beschleunigungs- und Rotationsmesser ab – unter iOS werden die Berechtigungen für diese Sensoren nicht angezeigt.

Wohin verbindet sich Spotify?

Die gesamte Kommunikation der App erfolgt verschlüsselt, auf zusätzliche Sicherheit durch Cert-Pinning wird verzichtet.

Hauptdienst Spotify: Neben technischen Informationen, wie den Übertragungszeitpunkt, übermittelt die App unter anderem folgende Informationen direkt beim Start:

  • iOS-Version, zum Beispiel 11.1.2
  • Gerätemodell, zum Beispiel iPhone 7.2
  • Sprache
  • von Spotify erzeugte Benutzer-ID

Wenn man sich bei Spotify registriert, fragt der Dienst folgende Daten ab:

  • E-Mail-Adresse
  • Passwort (selbst gewählt)
  • Basisdaten wie Geburtsdatum und Geschlecht
  • Nutzername
  • die Information, dass man in die Datenschutzerklärung einwilligt
  • von Spotify erzeugte Benutzer-ID

Wenn man angemeldet ist, sendet die App alle Nutzungsdaten zu Spotify: jedes gespielte Lied und jede Playlist, jede Suchanfrage innerhalb der App. Während der Nutzung übermittelt die App verschiedene Basisdaten wie die iOS-Version, das Gerätemodell und die Apple Werbe-ID (IDFA).

Apple (Push-Nachrichten): Die App nimmt Kontakt zu Servern von Apple auf, um sich für den Push-Dienst von Apple zu registrieren. Wir konnten sehen, dass dabei Basisdaten wie das Gerätemodell, die iOS-Version und die Sprache übermittelt werden. Die restliche Datenübermittlung erfolgte zusätzlich verschlüsselt, so dass wir sie in unserem Test nicht einsehen konnten.

Werbeanbieter: Die kostenlose App-Version finanziert sich über Werbung. Beim Einspielen von Werbung in die App konnten wir Datenflüsse zu folgenden Tracking- und Werbeunternehmen beobachten:

  • Scorecard Research: Der Dienst des Marktforschungsunternehmens Full Circle Studies Inc. analysiert vor allem die Internet-Nutzung mit dem Browser, durch Umfragen und mithilfe von Cookies. An den Dienst gehen Basisinformationen wie die App-Version, die Bildschirmauflösung und die Nutzungshäufigkeit der App.
  • Google Doubleclick: Doubleblick ist eine große Werbeplattform von Google. Den Datenfluss konnten wir nicht analysieren, da er durch eine zusätzliche Verschlüsselung abgeschirmt war.

Es kann nicht ausgeschlossen werden, dass Spotify noch mit weiteren Anbietern zusammenarbeitet.

Adjust: Adjust ist ein Tracking-Dienstleister, mit dem App-Hersteller Nutzerverhalten und Marketingkampagnen auswerten können. Gegründet wurde Adjust von dem deutschen Unternehmer Christian Henschel, Firmensitz ist Berlin und San Francisco. Adjust ließ sich durch eine Überprüfung der Firma ePrivacyseal GmbH bestätigen, dass man in Übereinstimmung mit der EU-Datenschutzverordnung arbeitet. Adjust erhält beim Betrieb der App folgende Daten:

  • Apple Werbe-ID (IDFA)
  • Hardware-Daten (detailliert)
  • Persistent iOS-UUID, ein einmalig generierte Identifier bei App-Installation

Der Tracker verfolgt außerdem praktisch alles, was der Nutzer innerhalb der App antippt oder eingibt, beispielsweise die Suchanfragen nach einer bestimmten Band.

Wie sicher speichert die App meine Daten?

Alle Informationen legt die App verschlüsselt im Apple Keychain beziehungsweise in der iCloud Keychain, dem integrierten Passwort-Manager bei iOS, ab.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung ist auf der Webseite von Spotify zu finden. Innerhalb der App ist die Datenschutzerklärung über den Navigationspfad „Einstellungen > Datenschutzerklärung erreichbar.

Die aktuelle Datenschutzerklärung ist am 25. Mai 2018 in Kraft getreten, an dem Tag, an dem in der EU die Datenschutzgrund-Verordnung (DSGVO) scharf gestellt wurde. Die Erklärung ist sehr ausführlich und wäre ausgedruckt etwa 14 Textseiten lang.

Sie schildert systematisch und übersichtlich in Tabellenform die Arten von Daten, die Spotify erfasst. Sie klärt über die Rechte auf, die Nutzer dank der DSGVO haben, etwa ein Auskunftsrecht oder das Recht auf Löschung von Daten.

In der Kategorie „Weitere mobile Daten“ schreibt Spotify, dass die App – nach expliziter Einwilligung durch die Nutzer – möglicherweise auf den genauen Standort des Smartphones zugreift. Das macht die App im Test allerdings gar nicht. Wir fragen uns, wieso Spotify diese Datenzugriffe dennoch erwähnt. Das sorgt für Verwirrung, nicht für Klarheit.

Laut Datenschutzerklärung können personenbezogene Daten an Spotify-Töchter und an externe Auftragnehmer außerhalb der EU gegeben werden. Welche Drittanbieter Daten aus der App-Nutzung erhalten, erwähnt die Datenschutzerklärung nicht. In der Empfängerkategorie „Diensteanbieter und andere“ schreibt Spotify nur:

„Wir nutzen Vermarktungs- und Werbepartner, um Ihnen individueller angepasste Inhalte zu zeigen oder uns zu helfen, Ihre Nutzung des Spotify Service nachzuvollziehen, um Ihnen einen besseren Service zur Verfügung zu stellen.“

Es zählt noch lange nicht zum Standard, dass in Datenschutzerklärungen alle Empfänger von Nutzerdaten aufgezählt werden. Es gibt aber Apps, die das schon praktizieren und somit Spotify in puncto Transparenz voraus sind.


Mehr App-Tests auf mobilsicher.de

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!