App-Test

Musikstreaming-App Spotify im Test (iOS)

Ein Artikel von , veröffentlicht am 15.11.2018
Bild: CC0 Pixabay / geralt

Spotify auf iOS: Beinahe 200 Millionen Menschen streamen über Spotify Musik. Viele von ihnen greifen per Smartphone auf Spotify zu, auch per iPhone und iPad. Wir haben den Datenfluss und die Datenschutzpraxis der iOS-App getestet.

Version

8.4.78

Betriebssysteme

iOS

Links

Apple App Store (iOS)
Google Play (Android)
Weblink
Hinweis: Den Test der Android-App von Spotify finden Sie hier.

Was ist Spotify?

Spotify ist ein populärer Musikstreaming-Dienst, der sich auf dem PC und über Smartphone-Apps nutzen lässt. Nach Angaben des Unternehmens stehen insgesamt mehr als 40 Millionen Lieder zum Streamen bereit, 191 Millionen Menschen aus 65 Ländern nutzen den Musikdienst (Stand November 2018).

Nach Angaben von Spotify haben 46 Prozent der Nutzerinnen und Nutzer ein Bezahl-Abonnement. Die kostenlose Version sieht Werbeunterbrechungen zwischen einzelnen Songs sowie verschiedene Funktionseinschränkungen vor. Die Bezahlversion ist werbefrei und ermöglicht es, Songs auf das Smartphone herunterzuladen, um sie offline zu hören.

Die Bezahlversion kostet, nach einem 30-tägigen Probemonat, monatlich 9,90 Euro. Für Familien und Studenten gibt es besondere Tarife. Sie lässt sich nicht direkt über die iOS-App erwerben, sondern nur über den Browserzugriff auf Spotify.com. Damit will Spotify, wie auf dieser Erklärseite beschrieben, die Zusatzgebühr umgehen, die Apple bei In-App-Käufen erhebt.

Diensteanbieterin ist die Spotify AB im schwedischen Stockholm. Die Firmenmutter, Spotify Technology S.A., sitzt allerdings in Luxemburg.

Spotify gibt es seit 2006, das Unternehmen startete als kleines Startup in Schweden. Im April 2018 ist Spotify Technology S.A. an die Börse gegangen. Der Marktwert liegt heute bei etwa 23 Milliarden Euro. Im Jahr 2017 hat Spotify etwa vier Milliarden Euro Umsatz gemacht.

Streaming-Apps und vor allem Spotify haben wir einen eigenen Hintergrundartikel gewidmet: Musik-Streaming – Musikhören mit eingebauter Überwachung.

Unser Test im Überblick

Spotify verzichtet darauf, bestimmte Zugriffsrechte, etwa den Zugriff auf den Standort oder das Telefonbuch, zur Bedingung für die Nutzung zu machen. Das ist positiv.

Die Daten, die an den Hauptdienst Spotify gehen, sind plausibel: Spotify erfasst die Anmeldedaten sowie Nutzungsdaten, etwa Suchanfragen zu bestimmten Liedern oder Wiedergabelisten.

Spotify informiert in der Datenschutzerklärung transparent über die Erfassung und Verwendung von übermittelten Daten nennt aber nicht die eingebundenen Drittanbieter.

Verwirrend finden wir, dass Spotify in der Datenschutzerklärung einen Zugriff auf den genauen Standort des Smartphones erwähnt, obwohl die App diese Berechtigung gar nicht anfordert.

Unser Test im Detail

Getestet haben wir die Version 8.4.78, die wir aus dem iTunes App-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Getestet wurde für die iOS-Version 11.1.2.

Die technische Analyse führte Mike Kuketz durch.

Übermittelte Informationen im Überblick:

  • Apple Werbe-ID (IDFA)
  • Anmeldedaten
  • iOS-Version
  • Gerätemodell und -hersteller
  • Sprache

Welche Berechtigungen fordert die App?

Die App ist sehr sparsam beim Einfordern von Berechtigungen. Spotify fragt nach der Installation nur, ob die App Mitteilungen senden kann. Die App lässt sich auch nutzen, wenn man das verweigert. Andere Zugriffsberechtigungen erzwingt die App nicht, wenn man sie nutzen will.

Laut der Datenschutzerklärung nimmt die Spotify-App möglicherweise folgende Zugriffe vor:

  • auf die Kamera
  • auf das Mikrofon
  • auf den Standort
  • auf das Telefonbuch

Die App fragt auch Daten von Beschleunigungs- und Rotationsmesser ab - unter iOS werden die Berechtigungen für diese Sensoren nicht angezeigt.

Was Smartphone-Berechtigungen sind und wie sie auf iOS geregelt sind, erläutern wir im Beitrag App-Berechtigungen bei iOS.

Wohin verbindet sich Spotify?

Die gesamte Kommunikation der App erfolgt verschlüsselt, auf zusätzliche Sicherheit durch Cert-Pinning wird verzichtet.

Was Cert-Pinning ist, erklären wir in unserem Beitrag SSL/TLS: Fragen und Antworten.

Hauptdienst Spotify: Neben technischen Informationen, wie den Übertragungszeitpunkt, übermittelt die App unter anderem folgende Informationen direkt beim Start:

  • iOS-Version, zum Beispiel 11.1.2
  • Gerätemodell, zum Beispiel iPhone 7.2
  • Sprache
  • von Spotify erzeugte Benutzer-ID

Wenn man sich bei Spotify registriert, fragt der Dienst folgende Daten ab:

  • E-Mail-Adresse
  • Passwort (selbst gewählt)
  • Basisdaten wie Geburtsdatum und Geschlecht
  • Nutzername
  • die Information, dass man in die Datenschutzerklärung einwilligt
  • von Spotify erzeugte Benutzer-ID

Wenn man angemeldet ist, sendet die App alle Nutzungsdaten zu Spotify: jedes gespielte Lied und jede Playlist, jede Suchanfrage innerhalb der App. Während der Nutzung übermittelt die App verschiedene Basisdaten wie die iOS-Version, das Gerätemodell und die Apple Werbe-ID (IDFA).

Apple (Push-Nachrichten): Die App nimmt Kontakt zu Servern von Apple auf, um sich für den Push-Dienst von Apple zu registrieren. Wir konnten sehen, dass dabei Basisdaten wie das Gerätemodell, die iOS-Version und die Sprache übermittelt werden. Die restliche Datenübermittlung erfolgte zusätzlich verschlüsselt, so dass wir sie in unserem Test nicht einsehen konnten.

Werbeanbieter: Die kostenlose App-Version finanziert sich über Werbung. Beim Einspielen von Werbung in die App konnten wir Datenflüsse zu folgenden Tracking- und Werbeunternehmen beobachten:

  • Scorecard Research: Der Dienst des Marktforschungsunternehmens Full Circle Studies Inc. analysiert vor allem die Internet-Nutzung mit dem Browser, durch Umfragen und mithilfe von Cookies. An den Dienst gehen Basisinformationen wie die App-Version, die Bildschirmauflösung und die Nutzungshäufigkeit der App.
  • Google Doubleclick: Doubleblick ist eine große Werbeplattform von Google. Den Datenfluss konnten wir nicht analysieren, da er durch eine zusätzliche Verschlüsselung abgeschirmt war.

Es kann nicht ausgeschlossen werden, dass Spotify noch mit weiteren Anbietern zusammenarbeitet.

Adjust: Adjust ist ein Tracking-Dienstleister, mit dem App-Hersteller Nutzerverhalten und Marketingkampagnen auswerten können. Gegründet wurde Adjust von dem deutschen Unternehmer Christian Henschel, Firmensitz ist Berlin und San Francisco. Adjust ließ sich durch eine Überprüfung der Firma ePrivacyseal GmbH bestätigen, dass man in Übereinstimmung mit der EU-Datenschutzverordnung arbeitet. Adjust erhält beim Betrieb der App folgende Daten:

  • Apple Werbe-ID (IDFA)
  • Hardware-Daten (detailliert)
  • Persistent iOS-UUID, ein einmalig generierte Identifier bei App-Installation

Der Tracker verfolgt außerdem praktisch alles, was der Nutzer innerhalb der App antippt oder eingibt, beispielsweise die Suchanfragen nach einer bestimmten Band.

Wie sicher speichert die App meine Daten?

Alle Informationen legt die App verschlüsselt im Apple Keychain beziehungsweise in der iCloud Keychain, dem integrierten Passwort-Manager bei iOS, ab.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung ist auf der Webseite von Spotify zu finden. Innerhalb der App ist die Datenschutzerklärung über den Navigationspfad „Einstellungen > Datenschutzerklärung erreichbar.

Die aktuelle Datenschutzerklärung ist am 25. Mai 2018 in Kraft getreten, an dem Tag, an dem in der EU die Datenschutzgrund-Verordnung (DSGVO) scharf gestellt wurde. Die Erklärung ist sehr ausführlich und wäre ausgedruckt etwa 14 Textseiten lang.

Sie schildert systematisch und übersichtlich in Tabellenform die Arten von Daten, die Spotify erfasst. Sie klärt über die Rechte auf, die Nutzer dank der DSGVO haben, etwa ein Auskunftsrecht oder das Recht auf Löschung von Daten.

In der Kategorie "Weitere mobile Daten" schreibt Spotify, dass die App - nach expliziter Einwilligung durch die Nutzer - möglicherweise auf den genauen Standort des Smartphones zugreift. Das macht die App im Test allerdings gar nicht. Wir fragen uns, wieso Spotify diese Datenzugriffe dennoch erwähnt. Das sorgt für Verwirrung, nicht für Klarheit.

Laut Datenschutzerklärung können personenbezogene Daten an Spotify-Töchter und an externe Auftragnehmer außerhalb der EU gegeben werden. Welche Drittanbieter Daten aus der App-Nutzung erhalten, erwähnt die Datenschutzerklärung nicht. In der Empfängerkategorie „Diensteanbieter und andere“ schreibt Spotify nur:

„Wir nutzen Vermarktungs- und Werbepartner, um Ihnen individueller angepasste Inhalte zu zeigen oder uns zu helfen, Ihre Nutzung des Spotify Service nachzuvollziehen, um Ihnen einen besseren Service zur Verfügung zu stellen.“

Es zählt noch lange nicht zum Standard, dass in Datenschutzerklärungen alle Empfänger von Nutzerdaten aufgezählt werden. Es gibt aber Apps, die das schon praktizieren und somit Spotify in puncto Transparenz voraus sind.

Was gibt es sonst noch? Im Artikel Musik-Streaming: Musikhören mit eingebauter Überwachung listen wir weitere Streaming-Anbieter auf.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Schwerpunkt 

Google: Alles zu Datenschutz und Diensten

Ob Gmail, Google-Maps oder Drive - es gibt zahllose Dienste von Google und fast jeder nutzt sie. Der Google-Konzern erhält dabei viele Ihrer persönlichen Daten und macht sie zu Geld. Was Google alles erfährt und was Sie dagegen tun können, erfahren Sie in den Beiträgen auf dieser Seite.

Mehr
Ratgeber 

So finden Sie Android-Version und Modellnummer (Android 5)

Es gibt viele Situationen, in denen Sie wissen sollten, welche Version des Betriebssystems Android auf Ihrem Gerät installiert ist. Auch die genaue Modellbezeichnung des Gerätes ist ab und an hilfreich. Beide Informationen können Sie sich anzeigen lassen.

Mehr
Ratgeber 

FairEmail: Datensichere Mail-App kurz vorgestellt (Android)

FairEmail ist ein datenschutzfreundlicher E-Mail-Client für Android. Die App zur Verwaltung von Mails auf dem Smartphone ist frei von Werbung und Tracking. Anbieter ist der niederländische Entwickler Marcel Bokhorst.

Mehr
YouTube-Video 

Sichere Cloud-Dienste: Alternativen zu Google Drive und Dropbox

Ihre Daten sollen nur für Sie und für niemand anderen zugänglich sein - das aber bitte überall und zu jeder Zeit? Nichts leichter als das - mit sicheren Cloud-Diensten. Wie sie funktionieren und welche Anbieter wir empfehlen, erfahren Sie im Video.

Ansehen