App-Test

Musikstreaming-App Spotify im Test (iOS)

Ein Artikel von , veröffentlicht am 15.11.2018
Bild: CC0 Pixabay / geralt

Spotify auf iOS: Beinahe 200 Millionen Menschen streamen über Spotify Musik. Viele von ihnen greifen per Smartphone auf Spotify zu, auch per iPhone und iPad. Wir haben den Datenfluss und die Datenschutzpraxis der iOS-App getestet.

Version

8.4.78

Betriebssysteme

iOS

Links

Apple App Store (iOS)
Google Play (Android)
Weblink
Hinweis: Den Test der Android-App von Spotify finden Sie hier.

Was ist Spotify?

Spotify ist ein populärer Musikstreaming-Dienst, der sich auf dem PC und über Smartphone-Apps nutzen lässt. Nach Angaben des Unternehmens stehen insgesamt mehr als 40 Millionen Lieder zum Streamen bereit, 191 Millionen Menschen aus 65 Ländern nutzen den Musikdienst (Stand November 2018).

Nach Angaben von Spotify haben 46 Prozent der Nutzerinnen und Nutzer ein Bezahl-Abonnement. Die kostenlose Version sieht Werbeunterbrechungen zwischen einzelnen Songs sowie verschiedene Funktionseinschränkungen vor. Die Bezahlversion ist werbefrei und ermöglicht es, Songs auf das Smartphone herunterzuladen, um sie offline zu hören.

Die Bezahlversion kostet, nach einem 30-tägigen Probemonat, monatlich 9,90 Euro. Für Familien und Studenten gibt es besondere Tarife. Sie lässt sich nicht direkt über die iOS-App erwerben, sondern nur über den Browserzugriff auf Spotify.com. Damit will Spotify, wie auf dieser Erklärseite beschrieben, die Zusatzgebühr umgehen, die Apple bei In-App-Käufen erhebt.

Diensteanbieterin ist die Spotify AB im schwedischen Stockholm. Die Firmenmutter, Spotify Technology S.A., sitzt allerdings in Luxemburg.

Spotify gibt es seit 2006, das Unternehmen startete als kleines Startup in Schweden. Im April 2018 ist Spotify Technology S.A. an die Börse gegangen. Der Marktwert liegt heute bei etwa 23 Milliarden Euro. Im Jahr 2017 hat Spotify etwa vier Milliarden Euro Umsatz gemacht.

Streaming-Apps und vor allem Spotify haben wir einen eigenen Hintergrundartikel gewidmet: Musik-Streaming – Musikhören mit eingebauter Überwachung.

Unser Test im Überblick

Spotify verzichtet darauf, bestimmte Zugriffsrechte, etwa den Zugriff auf den Standort oder das Telefonbuch, zur Bedingung für die Nutzung zu machen. Das ist positiv.

Die Daten, die an den Hauptdienst Spotify gehen, sind plausibel: Spotify erfasst die Anmeldedaten sowie Nutzungsdaten, etwa Suchanfragen zu bestimmten Liedern oder Wiedergabelisten.

Spotify informiert in der Datenschutzerklärung transparent über die Erfassung und Verwendung von übermittelten Daten nennt aber nicht die eingebundenen Drittanbieter.

Verwirrend finden wir, dass Spotify in der Datenschutzerklärung einen Zugriff auf den genauen Standort des Smartphones erwähnt, obwohl die App diese Berechtigung gar nicht anfordert.

Unser Test im Detail

Getestet haben wir die Version 8.4.78, die wir aus dem iTunes App-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Getestet wurde für die iOS-Version 11.1.2.

Die technische Analyse führte Mike Kuketz durch.

Übermittelte Informationen im Überblick:

  • Apple Werbe-ID (IDFA)
  • Anmeldedaten
  • iOS-Version
  • Gerätemodell und -hersteller
  • Sprache

Welche Berechtigungen fordert die App?

Die App ist sehr sparsam beim Einfordern von Berechtigungen. Spotify fragt nach der Installation nur, ob die App Mitteilungen senden kann. Die App lässt sich auch nutzen, wenn man das verweigert. Andere Zugriffsberechtigungen erzwingt die App nicht, wenn man sie nutzen will.

Laut der Datenschutzerklärung nimmt die Spotify-App möglicherweise folgende Zugriffe vor:

  • auf die Kamera
  • auf das Mikrofon
  • auf den Standort
  • auf das Telefonbuch

Die App fragt auch Daten von Beschleunigungs- und Rotationsmesser ab - unter iOS werden die Berechtigungen für diese Sensoren nicht angezeigt.

Was Smartphone-Berechtigungen sind und wie sie auf iOS geregelt sind, erläutern wir im Beitrag App-Berechtigungen bei iOS.

Wohin verbindet sich Spotify?

Die gesamte Kommunikation der App erfolgt verschlüsselt, auf zusätzliche Sicherheit durch Cert-Pinning wird verzichtet.

Was Cert-Pinning ist, erklären wir in unserem Beitrag SSL/TLS: Fragen und Antworten.

Hauptdienst Spotify: Neben technischen Informationen, wie den Übertragungszeitpunkt, übermittelt die App unter anderem folgende Informationen direkt beim Start:

  • iOS-Version, zum Beispiel 11.1.2
  • Gerätemodell, zum Beispiel iPhone 7.2
  • Sprache
  • von Spotify erzeugte Benutzer-ID

Wenn man sich bei Spotify registriert, fragt der Dienst folgende Daten ab:

  • E-Mail-Adresse
  • Passwort (selbst gewählt)
  • Basisdaten wie Geburtsdatum und Geschlecht
  • Nutzername
  • die Information, dass man in die Datenschutzerklärung einwilligt
  • von Spotify erzeugte Benutzer-ID

Wenn man angemeldet ist, sendet die App alle Nutzungsdaten zu Spotify: jedes gespielte Lied und jede Playlist, jede Suchanfrage innerhalb der App. Während der Nutzung übermittelt die App verschiedene Basisdaten wie die iOS-Version, das Gerätemodell und die Apple Werbe-ID (IDFA).

Apple (Push-Nachrichten): Die App nimmt Kontakt zu Servern von Apple auf, um sich für den Push-Dienst von Apple zu registrieren. Wir konnten sehen, dass dabei Basisdaten wie das Gerätemodell, die iOS-Version und die Sprache übermittelt werden. Die restliche Datenübermittlung erfolgte zusätzlich verschlüsselt, so dass wir sie in unserem Test nicht einsehen konnten.

Werbeanbieter: Die kostenlose App-Version finanziert sich über Werbung. Beim Einspielen von Werbung in die App konnten wir Datenflüsse zu folgenden Tracking- und Werbeunternehmen beobachten:

  • Scorecard Research: Der Dienst des Marktforschungsunternehmens Full Circle Studies Inc. analysiert vor allem die Internet-Nutzung mit dem Browser, durch Umfragen und mithilfe von Cookies. An den Dienst gehen Basisinformationen wie die App-Version, die Bildschirmauflösung und die Nutzungshäufigkeit der App.
  • Google Doubleclick: Doubleblick ist eine große Werbeplattform von Google. Den Datenfluss konnten wir nicht analysieren, da er durch eine zusätzliche Verschlüsselung abgeschirmt war.

Es kann nicht ausgeschlossen werden, dass Spotify noch mit weiteren Anbietern zusammenarbeitet.

Adjust: Adjust ist ein Tracking-Dienstleister, mit dem App-Hersteller Nutzerverhalten und Marketingkampagnen auswerten können. Gegründet wurde Adjust von dem deutschen Unternehmer Christian Henschel, Firmensitz ist Berlin und San Francisco. Adjust ließ sich durch eine Überprüfung der Firma ePrivacyseal GmbH bestätigen, dass man in Übereinstimmung mit der EU-Datenschutzverordnung arbeitet. Adjust erhält beim Betrieb der App folgende Daten:

  • Apple Werbe-ID (IDFA)
  • Hardware-Daten (detailliert)
  • Persistent iOS-UUID, ein einmalig generierte Identifier bei App-Installation

Der Tracker verfolgt außerdem praktisch alles, was der Nutzer innerhalb der App antippt oder eingibt, beispielsweise die Suchanfragen nach einer bestimmten Band.

Wie sicher speichert die App meine Daten?

Alle Informationen legt die App verschlüsselt im Apple Keychain beziehungsweise in der iCloud Keychain, dem integrierten Passwort-Manager bei iOS, ab.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung ist auf der Webseite von Spotify zu finden. Innerhalb der App ist die Datenschutzerklärung über den Navigationspfad „Einstellungen > Datenschutzerklärung erreichbar.

Die aktuelle Datenschutzerklärung ist am 25. Mai 2018 in Kraft getreten, an dem Tag, an dem in der EU die Datenschutzgrund-Verordnung (DSGVO) scharf gestellt wurde. Die Erklärung ist sehr ausführlich und wäre ausgedruckt etwa 14 Textseiten lang.

Sie schildert systematisch und übersichtlich in Tabellenform die Arten von Daten, die Spotify erfasst. Sie klärt über die Rechte auf, die Nutzer dank der DSGVO haben, etwa ein Auskunftsrecht oder das Recht auf Löschung von Daten.

In der Kategorie "Weitere mobile Daten" schreibt Spotify, dass die App - nach expliziter Einwilligung durch die Nutzer - möglicherweise auf den genauen Standort des Smartphones zugreift. Das macht die App im Test allerdings gar nicht. Wir fragen uns, wieso Spotify diese Datenzugriffe dennoch erwähnt. Das sorgt für Verwirrung, nicht für Klarheit.

Laut Datenschutzerklärung können personenbezogene Daten an Spotify-Töchter und an externe Auftragnehmer außerhalb der EU gegeben werden. Welche Drittanbieter Daten aus der App-Nutzung erhalten, erwähnt die Datenschutzerklärung nicht. In der Empfängerkategorie „Diensteanbieter und andere“ schreibt Spotify nur:

„Wir nutzen Vermarktungs- und Werbepartner, um Ihnen individueller angepasste Inhalte zu zeigen oder uns zu helfen, Ihre Nutzung des Spotify Service nachzuvollziehen, um Ihnen einen besseren Service zur Verfügung zu stellen.“

Es zählt noch lange nicht zum Standard, dass in Datenschutzerklärungen alle Empfänger von Nutzerdaten aufgezählt werden. Es gibt aber Apps, die das schon praktizieren und somit Spotify in puncto Transparenz voraus sind.

Was gibt es sonst noch? Im Artikel Musik-Streaming: Musikhören mit eingebauter Überwachung listen wir weitere Streaming-Anbieter auf.

Geschrieben von

E-Mail

hinweis@mobilsicher.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

YouTube-Video 

Android-Handy in Betrieb nehmen: So geht’s!

Wer ein neues Android-Handy zum ersten Mal einschaltet, muss gleich viele Entscheidungen zur Konfiguration treffen. Wir erklären Schritt für Schritt, was sich hinter den vielen Fragen des Systems verbirgt und geben Tipps, wie man die Kontrolle über die eigenen Daten behält.

Ansehen
App-Test 

Wetter-App im Test: wetter.com

Sie ist nicht nur eine der beliebtesten Wetter-Apps der Deutschen, sie geht auch bei Werbung und Tracking in die Vollen: Zehn verschiedene Werbenetzwerke und vier Analysedienste sind in der App versteckt. Alle Details gibt es in unserem Testbericht.

Mehr
App-Test 

Navi-Apps im Check: HERE WeGo – solides Mittelfeld

Hinter HERE WeGo stehen drei Giganten der klassischen Wirtschaft: die Autokonzerne BMW, Daimler und Volkswagen. Die kostenlose App verfügt über hochwertiges Kartenmaterial und schneidet in puncto Datenschutz ziemlich gut ab. Eine solide Konkurrenz zu Google Maps.

Mehr
Ratgeber 

Handy verkaufen? Daten richtig löschen (Android)

Wer sein Android-Smartphone verkaufen oder verschenken will, sollte vorher alle Daten vom Gerät entfernen. Hier zeigen wir Schritt für Schritt, wie Sie die Daten so entfernen, dass sie danach nicht mehr ohne weiteres wiederherzustellen sind.

Mehr