Runtastic: Lieblingssport Datenschleudern

Mit der Lauf-App Runtastic können Läufer tracken, wie es so läuft –  allerdings auf Kosten ihrer Privatsphäre. Die App sammelt allerlei Daten und schickt sie an externe Dienstleister. Dazu kommt: Die Datenschutzerklärung ist weder transparent noch vollständig.

Version
7.3.2
Betriebssystem
Android, iOS
App-Store- / Weblinks
Apple App Store (iOS)
Google Play (Android)
Weblink
Aktualisiert am
Veröffentlicht am
Review Autor
Schlagworte
Fitness-Apps · Runtastic · Tracking
Drucken

Aktualisiert am

Auf einen Blick

Was kann Runtastic?

Mit Runtastic kann man seine eigenen sportliche Leistung erfassen, planen und mit anderen vergleichen. Dazu greift die App auf die Standortdaten und andere Sensoren des Handys zu und errechnet daraus Distanz, Geschwindigkeit, Kalorienverbrauch und vieles mehr.

Über Facebook oder über das eigene Adressbuch kann man Freunde zu seinem Nutzerkonto hinzufügen und seine Leistungen mit ihnen teilen und vergleichen. Die App lässt sich mit verschiedenen Fitness-Wearables nutzen und mit den Apps MyFitnessPal und Google Fit verbinden.

Anbieter ist die Runtastic GmbH, die seit 2015 der Adidas-AG gehört. Geschäftssitz ist in Pasching bei Linz, Österreich. Die App wurde nach eigenen Angaben über 200 Millionen mal heruntergeladen und hat über 100 Millionen registrierte Nutzer.

Der Anbieter verdient Geld mit Werbung, die in der App erscheint, mit kostenpflichtigen Premium-Diensten und mit Produkten, die Runtastic selbst verkauft, zum Beispiel Tracking-Armbändern und vernetzte Waagen.

Unser Test zusammengefasst


Hinweis: Dieser Test macht keine Aussage über die Qualität der Messungen, Empfehlungen und Berechnungen, zum Beispiel von Kalorienverbrauch oder Puls. Die App wurde ausschließlich auf ihr Verhalten hinsichtlich Datenschutz und Datensicherheit getestet.

Die technische Analyse führte Mike Kuketz durch.

Die App Runtastic erfasst bei der Anmeldung und während der Nutzung viele persönliche Daten. Problematisch: Personenbezogene Daten wie Name und Geburtsdatum werden an den Drittanbieter Pushwoosh gesendet und Informationen zur berechneten Herzfrequenz gehen an Google.

GPS-Daten und Vitaldaten (Schritte, Herzfrequenz, Kalorien usw.) erfasst die App nur, wenn man manuell in der App eine Aktivität beginnt, zum Beispiel einen Lauf. Dies widerspricht explizit den Angaben in der Datenschutzerklärung von Runtastic, in denen der Hersteller versichert, gerade Informationen zur Herzfrequenz nicht weiterzugeben.

Ebenfalls heikel: Wer sein Runtastic-Konto mit Freunden verbindet, teilt diesen in der Standard-Einstellung auch die eigenen Angaben zu Gewicht, Größe und sportlicher Leistung mit. Mehr Privatsphäre muss man manuell einstellen. Über die Datenschutzerklärung lässt sich Runtastic die Einwilligung geben, Nutzerdaten an zugehörige Unternehmen, wie zum Beispiel die Adidas AG weiterzugeben, aber auch an andere Dienstleister.

Die wichtigsten übermittelten Informationen

Hinweis: Natürlich könnte man bei Informationen wie Geschlecht, Körpergröße und Gewicht einfach falsche Daten eingeben. Allerdings stimmen Berechnungen wie Kalorienverbrauch oder Puls dann nicht mehr – die Funktionalität der App wäre damit eingeschränkt. Insofern sind diese Angaben hier nicht ganz so optional, wie es scheint.

  • Google-Advertising-ID (änderbar)
  • Android-ID (nicht änderbar)
  • E-Mail-Adresse (wird verifiziert)
  • Geburtstag (wählbar)
  • Vor- und Nachname (entweder aus Facebook-Konto oder wählbar)
  • Geschlecht (wählbar)
  • Körpergröße (wählbar)
  • Gewicht (wählbar)
  • Herzfrequenz / Puls (berechnet)
  • Geschwindigkeit (berechnet)
  • Distanz (berechnet)
  • Dauer, Anfangszeit, Endzeit einer Aktivität
  • Verbrauchte Kalorien (berechnet)
  • GPS-Daten des Laufs
  • Android-Version
  • Hersteller, Geräte-Modell, Bildschirmgröße, Batterieladestand, verbaute CPU
  • Mobilfunkprovider

Unser Test im Detail

Getestet haben wir die Version 7.3.2, die wir aus dem Play-Store heruntergeladen haben. Dieser Test gibt keine Auskunft über abweichende Versionen.

Auf welche Daten kann die App zugreifen?

In unserem Text App-Berechtigungen entschlüsselt erklären wir, was die einzelnen Zugriffsrechte bedeuten.

Kontakte (aus Telefon)

Mikrofon

Speicherplatz

Standortdaten

SmartWear

Sonstiges

Wohin verbindet sich die App?

Runtastic (Hauptdienst)

1. Vor dem Einloggen:
Die App sendet beim ersten Start Nutzerdaten an die eigenen Server, noch bevor der Nutzer ein Konto angelegt oder sich eingeloggt hat. Folgende Informationen werden übermittelt:

  • Android-Version
  • Hersteller, Geräte-Modell, Bildschirmgröße
  • Mobilfunkprovider
  • Länder-Einstellung
  • Google Advertising ID

2. Nach dem Einloggen:
Um Runtastic zu nutzen, braucht man ein Nutzerkonto. Man kann sich entweder mit seinem Google- oder Facebook-Konto einloggen oder ein neues Konto bei Runtastic anlegen.

Bei der Konto-Einrichtung fragt Runtastic folgende Informationen ab und überträgt sie:

  • E-Mail-Adresse
  • Selbst gewähltes Passwort
  • Geburtstag
  • Länderkennung
  • Vor- und Nachname
  • Geschlecht
  • Zeitzone
  • Körpergröße
  • Gewicht

Wer Körpergewicht und Größe nicht ausfüllt, bei dem trägt Runtastic einen Standard-Wert ins Profil ein.

3. Nach einer Aktivität:
Nach dem Beenden einer Aktivität, zum Beispiel einem Lauf, übermittelt die App folgendes.

  • Google Advertising ID
  • Herzfrequenz / Puls (Maximum, Minimum, Durchschnitt)
  • Geschwindigkeit (Maximum, Minimum, Durchschnitt)
  • Untergrund (zum Beispiel Straße, Wald)
  • Distanz
  • Dauer, Anfangszeit, Endzeit
  • Verbrauchte Kalorien
  • Schuhwerk (falls Schuhe in Runtastic angelegt sind)
  • GPS-Daten des Laufs
  • Wetterdaten (Temperatur)
  • Feeling ID: Fantastisch, super, gut, mäßig (wird über Smileys gesetzt)
  • Höhenprofil der Strecke
  • Fotos, die in Verbindung mit dem Lauf stehen

Apptimize.com

Apptimize.com ist ein Analysedienst, der zum Beispiel sogenannte AB-Tests durchführt. Firmensitz ist Kalifornien, USA. Während der Nutzung wird übermittelt:

  • Systemsprache
  • Eingebauter Prozessor
  • Facebook-Anbindung Ja/Nein
  • Hersteller und Geräte-Modell, Bildschirmauflösung
  • Android-Version

Pushwoosh.com

Pushwoosh.com ist ein Dienst, der In-App-Messaging und Push-Nachrichten anbietet. Unternehmenssitz ist Delaware, USA.
Während der Nutzung wird übermittelt:

  • Android ID – Device ID
  • Einmalig generierte Nutzer-ID
  • Gerät gerootet ja/nein
  • Zeitzone, Länderkennung
  • Hersteller und Geräte-Modell
  • Android-Version
  • Freier Speicher
  • Bildschirmauflösung
  • Akkustand

Nachdem man eine Aktivität abgeschlossen hat, übermittelt die App folgende Informationen an den Dienst:

  • Vor- und Nachname
  • Geschlecht
  • Verbundene Netzwerke: Google+, Facebook?
  • Mobilfunkanbieter und Länderkennung
  • Altersgruppe, zum Beispiel 25–34
  • Registrierungsdatum
  • Anzahl absolvierter Aktivitäten
  • Anzahl der Freunde, die bei Runtastic hinzugefügt wurden
  • Laufziel (selbst wählbar im eigenen Profil)
  • Anzahl der Anfragen von Freunden
  • Anzahl an Schuhen

In der Datenschutzerklärung gibt es keinen Hinweis zu diesem externen Dienstleister.

Facebook

Die App nimmt regelmäßig Verbindung zu Facebook auf – auch wenn man sich nicht mit dem Facebook-Konto anmeldet oder es innerhalb der App verknüpft hat. Folgendes wird dabei übermittelt:

  • Geräte-Hersteller und Modell, Bildschirmauflösung
  • Android-Version
  • Mobilfunkanbieter
  • Zeitzone, Länderkennung
  • Google Advertising ID
  • Gerät gerootet ja/nein
  • Daten des Beschleunigungssensors (X, Y und Z Achse)
  • Daten des Rotationssensors (X,Y und Z Achse)
  • Batterieladestatus, Gerät am laden: Ja / Nein
  • Freier Speicherplatz
  • Freier Arbeitsspeicher

Wenn man sich mit dem Facebook-Konto anmeldet, fragt Runtastic nach Zugriff auf folgende Informationen aus dem Konto:

  • Öffentliches Profil
  • Freundesliste
  • Geburtstag
  • E-Mail-Adresse

Google

Die Runtastic-App nutzt mehrere Google-Dienste:

  • GCM: Google Cloud Messaging
  • Google Maps
  • Doubleklick (Googles Werbenetzwerk)
  • Google-Analytics-Tracker

GCM ist der Push-Nachrichten-Dienst von Google, den fast alle Apps benutzen. Google Maps benötigt Runtastic für das Kartenmaterial.

Was an Google übermittelt wird, ist ganz interessant: Neben den üblichen Gerätedaten (Geräte-Hersteller und -Modell, Android-Version, Bildschirmauflösung) gehen auch Daten zum Läufer an Google.

  • Aktivität (wählt der Nutzer selber, zum Beispiel Laufen, Schwimmen, etc.)
  • Kalorienverbrauch
  • Alter
  • Geschlecht
  • Eigene Angaben zur Stimmung
  • Informationen zur Herzfrequenz (zum Beispiel: unter 130)
  • Zurückgelegte Distanz
  • Temperatur / Wetter

Hockeyapp.net

Hockeyapp.net ist ein Analyse- und Entwicklungstool von Microsoft, das zum Beispiel Fehler und Abstürze einer App analysiert. Die Kommunikation mit dem Server ist zusätzlich verschlüsselt und lässt sich nicht einsehen.

Adjust.com

Anbieter ist die Adjust GmbH mit Sitz in Berlin. Adjust betreibt vor allem Echtzeit-Nutzeranalyse und ermöglicht so zum Beispiel individuelle Angebote, Werbung oder Kaufoptionen in der App.

Runtastic übermittelt folgende Informationen an den Dienst:

  • Google Advertising ID
  • Geräte-Hersteller und Modell, Bildschirmauflösung
  • Android-UUID
  • Android-Version (detailliert)
  • Land
  • Prozessor-Typ

newrelic.com

Analytics-Dienst, Geschäftssitz in San Francisco, USA. Übermittelt wird:

  • Geräte-Hersteller und -Modell
  • Android-Version

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung ist schwer lesbar und verzichtet nicht auf juristische Sprache. Sie enthält eine übersichtliche Liste mit Daten, die erfasst werden können oder werden. Allerdings ist diese Liste nicht vollständig. Nicht erwähnt wird, dass auch die Google Werbe-ID, Android-ID und detaillierte Hardware-Informationen erfasst werden. Diese Kenngrößen können genutzt werden, um erfasste Daten einem bestehenden Profil zuzuordnen.

Runtastic lässt sich das Recht einräumen, Nutzerdaten an Dienstleister und an andere Firmen der Unternehmensgruppe weiterzugeben. Einige der von uns registrierten eingebundenen Dienste werden auch erwähnt, allerdings nicht alle, insbesondere nicht der Dienst Pushwoosh, der sehr umfangreiche Daten erhält.

Interessant ist der Absatz 4.3.2 der Datenschutzerklärung, in der Runtastic explizit schreibt:

„… Daten … wie zum Beispiel Informationen zur Herzfrequenz, werden niemals an Vermarktungsnetzwerke oder ähnliche Anbieter weitergegeben.“

Allerdings konnten wir in unserem Test feststellen, dass Informationen zur Herzfrequenz an Google übertragen wurden.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!