Schwangerschaft+ im Test: Facebook liest mit

Die beliebte App „Schwangerschaft+“ begleitet werdende Eltern mit Informationen und hilft, die Vorbereitungen zu organisieren. Kritisch: Die App sendet sensible Informationen an Facebook – zum Beispiel die Schwangerschaftswoche. Der Hersteller hat angekündigt, diese Praxis bald einzustellen – noch ist es aber nicht so weit.

Version
4.6.1.1
Betriebssystem
Android
App-Store- / Weblinks
Apple App Store (iOS)
Google Play (Android)
Weblink
Veröffentlicht am
Review Autor
Schlagworte
App-Test · Eltern · Facebook · Gesundheits-Apps · Kinder
Drucken

Was kann „Schwangerschaft+“?

Die App „Schwangerschaft +“ ist ein digitaler Begleiter für jeden Tag der Schwangerschaft. Sie bietet Informationen zu Entwicklungsstand und Gesundheit des Kindes. Zudem kann man Termine und Aufgaben planen, sein Gewicht protokollieren, Fotos hochladen, Telefonnummern hinterlegen und vieles mehr.

Anbieter ist die Firma „Health and Parenting Limited“, mit Sitz in Guilford, UK. 2017 hat der niederländische Konzern Royal Philipps (kurz Philips) die Firma gekauft. Bekannt ist Philips für Elektronik-Geräte, der Konzern hat aber auch eine sehr beachtliche Gesundheits-Sparte.

Nach Angaben des Herstellers werden alle Inhalte der App in Zusammenarbeit mit medizinischem Fachpersonal erstellt. Geld verdient der Hersteller durch eine Premiumversion für 4,49 Euro (Stand Mai 2018), in der Zusatzfunktionen verfügbar sind. Zudem schaltet die App Werbung.

Unser Test im Überblick

Meldet man sich in der App an, werden alle Informationen, die man selber angibt, an den Hersteller übertragen. Erfreulich: Man kann die App auch ohne Anmeldung nutzen. Diese Option ist allerdings gut versteckt.

Die App übertrug in der getesteten Version Nutzerdaten an vier Analyse-Dienste – darunter auch Facebook. Besonders kritisch: Facebook erhält dabei Informationen wie die Schwangerschaftswoche, ob man das eigene Gewicht protokolliert oder ob man einen Babynamen sucht, zusammen mit der Google-Werbe-ID.

Kombiniert Facebook diese Informationen mit bestehenden Nutzerprofilen, zum Beispiel aus einem Facebook-Konto? Die Datenschutzerklärung von Facebook legt das nahe. Facebook nennt dort „Informationen von Apps und Webseiten, die unsere Dienste nutzen“ ausdrücklich unter den Informationen „die wir über dich sammeln“. Facebook sagt weiterhin, dass alle diese gesammelten Informationen unter anderem genutzt werden, um Werbung anzuzeigen.

Philips hat auf Anfrage von mobilsicher.de angekündigt, Facebook Analytics in Zukunft nicht mehr zu nutzen. In der aktuellen Version 1.6.2 ist der Dienst allerdings noch da und erhält auch noch die selben Informationen wie im Test.

Ebenfalls kritisch: Zwei weitere Analysedienste, Crashlytics und Flurry, erhalten neben der Google Werbe-ID auch eine unveränderliche Kennnummer, die Android-ID. Diese zählt zu den personenbezogenen Daten und sollte niemals mit der Werbe-ID kombiniert werden. Auf Anfrage von mobilsicher.de bestätigte Crashlytics, dass man diese beiden Kennnummern zusammen erfasse, dies aber im nächsten Update aufhören werde. Philips teilte auf Anfrage mit, dass man die Zusammenarbeit mit Flurry beenden werde. In der aktuellen Version 1.6.2 arbeiten beide Dienste noch genauso, wie im Test.

Erfreulich: Die Datenschutzerklärung nennt alle eingebundenen Dienste namentlich (in der Version 1.6.2. ist noch ein weiterer hinzu gekommen) und die App holt eine Einwilligung ein.

Unser Fazit: Wer nicht möchte, dass Facebook Details über die eigene Schwangerschaft erfährt und zu Werbezwecken ausnutzt, sollte diese App momentan lieber nicht nutzen. Wer diese App nutzt, sollte sich über entsprechende Werbeanzeigen auf verschiedensten Plattformen nicht wundern.

Die wichtigsten übermittelten Informationen

  • Android-ID
  • Google Werbe-ID
  • Build-Nummer
  • Selber angegebene Informationen: Geburtstermin, Geschlecht des Kindes, Verwandtschaftsverhältnis, E-Mail-Adresse
  • Standard-Informationen vom Gerät: Geräte-Hersteller, Modell, Android-Version, Sprache, Bildschirmauflösung

Unser Test im Detail

Getestet haben wir die „Schwangerschaft +“-Version 4.6.1.1, die wir aus dem Play-Store heruntergeladen haben. Dieser Test gibt keine Auskunft über abweichende Versionen.

Die technische Analyse führte Mike Kuketz durch.

Auf welche Daten kann die App zugreifen?

Die Berechtigungen sind für den Funktionsumfang plausibel. Erfreulich: Die App fragt nicht nach dem Aufenthaltsort.

Kalender

  • Kalendertermine sowie vertrauliche Informationen lesen
  • Ohne Wissen der Eigentümer Kalendereinträge hinzufügen

Kontakte

Telefon

Fotos/Medien/Dateien

Kamera

Andere Berechtigungen

Welche Daten überträgt die App an wen?

Alle übertragenen Daten sind TLS-Verschlüsselt. Beim ersten Start der App erscheint ein Login-Bildschirm. Man kann diesen mit einem Tipp auf „Später anmelden“ überspringen. Die meisten Informationen, die man selber angibt, werden in diesem Fall nur lokal auf dem Gerät gespeichert und nicht über das Internet übertragen. Sie bleiben nach dem Schließen der App auch erhalten. Man kann die App also durchaus auch so sinnvoll nutzen.

Da die meisten NutzerInnen sich aber vermutlich mit einem Konto anmelden, haben wir in unserem Test diesen Fall untersucht. Alle beobachteten Datenübertragungen gelten nur für den Fall, dass man ein Nutzerkonto mit einer E-Mail-Adresse angelegt hat.

1. Hauptdienst: Health and Parenting
Während man sich mit E-Mail-Adresse und Passwort registriert, gehen folgende Daten an den Anbieter:

  • Alle Informationen, die man selber angibt: Passwort, E-Mail-Adresse, Name, Geschlecht des Kindes, Geburtstermin
  • Standard-Informationen: Android-Version, Sprache
  • Build-Nummer

2. Analyse: Facebook
Facebook bietet für andere Betreiber von Apps einen Analysedienst an. App-Betreiber können damit sehen, wie ihre App genutzt wird. Der Dienst ist in sehr vielen Apps vorhanden. Dabei gehen viele Daten an Facebook. Wir vermuten, dass Facebook diese Daten mit bestehenden Nutzerprofilen kombiniert.

Direkt nach dem Start der App und in wiederkehrenden Abständen werden unter anderem folgende Informationen übermittelt – egal ob man sich per Facebook anmeldet und auch, wenn man gar kein Facebook-Konto hat.

  • Google Werbe-ID
  • Name und Version der App (Schwangerschaft +)
  • Standard-Informationen: Geräte-Hersteller und Modell, Android-Version, Sprache, Bildschirmauflösung

Während der Nutzung kommen dann noch folgende Informationen hinzu:

  • Schwangerschaftswoche
  • Ob man Vater oder Mutter des Kindes ist (selber angegeben)
  • Wenn man nach Babynamen sucht
  • Wenn man das eigene Gewicht erfasst
  • Wann die App geschlossen und geöffnet wird

3. Analyse: Crashlytics

Dienstleister, der Apps auf Fehler und Abstürze analysiert, aber auch Nutzungsanalysen durchführt. Gehört zum Google-Konzern. An den Dienst werden folgende Informationen übertragen:

  • Name und Version der App (Schwangerschaft +)
  • Standard-Informationen: Geräte-Hersteller und Modell, Android-Version
  • Build-Nummer
  • Google Werbe-ID
  • Android-ID

4. Analyse: Flurry

Dienstleister, der Nutzerverhalten analysiert und das Marketing unterstützt. Gehört zu Yahoo. An den Dienst werden folgende Informationen übertragen:

  • Name und Version der App (Schwangerschaft +)
  • Standard-Informationen: Geräte-Hersteller und Modell, Android-Version
  • Build-Nummer
  • Google Werbe-ID
  • Android-ID

5. Google (Push-Dienst und Google Analytics)

Das „Google Service Framework“ wird benötigt, um Push-Nachrichten zu übermitteln (GCM). Der Analysedienst von Google hilft, das Nutzerverhalten zu untersuchen. Im Test konnten wir folgende Datenübermittlung beobachten:

  • Standard-Informationen: Geräte-Hersteller und Modell, Android-Version, Bildschirmauflösung, Sprache
  • Name und Version der App (Schwangerschaft +)
  • Build-Nummer

Hinweis: Weitere Informationen bzw. Datenübermittlungen sind zusätzlich verschlüsselt und lassen sich nicht einsehen.

Amazon
Einige Informationen der App werden offenbar aus der Amazon Cloud (AWS) geladen. Dabei wurden keine besonderen Daten übertragen.

Wie sicher speichert die App meine Daten?

Lokal speichert die App nur die E-Mail Adresse und ein SessionToken. Darüber erfolgt dann die Authentifizierung. Ein sicheres und übliches Verfahren.

Was sagt die Datenschutzerklärung?

Der Link zur Datenschutzerklärung im Play-Store führt nur zu einer englischsprachigen Version. Innerhalb der App ist die Datenschutzerklärung zu finden unter „Menü > Über uns > Datenschutzrichtlinie“. Die Datenschutzerklärung ist von März 2018. Bemerkenswert und bei unseren Tests bisher einmalig: Alle eingebundenen Dienstleister werden beim Namen genannt und erläutert.


Mehr App-Tests auf mobilsicher.de

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!