Gesundheits-App Vivy: Datenschutz-Bruchlandung

Gestern erreichten mich zahlreiche E-Mails, ich möge mir doch bitte die neue Gesundheits-App Vivy anschauen, die aktuell ca. 13,5 Millionen Krankenversicherten die Verwaltung ihrer Gesundheitsdaten ermöglicht. Eurer Bitte möchte ich hiermit nachkommen und von meinen Ergebnissen berichten.

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Unmittelbar nach dem Start der App kontaktiert die App die Analysefirma Mixpanel (Firmensitz San Francisco, USA), die schon mehrfach negativ aufgefallen ist. Unter anderem werden folgende Informationen übermittelt [*.mixpanel.com]:

  • Android-Versionsnummer: 7.1.2
  • Hersteller und Modell: Xiaomi | Redmi Note 4
  • Ob die Google Play Services installiert sind
  • Displayauflösung: 1920×1080
  • App-Versionsnummer: 1.16
  • Ob ein NFC-Chip verbaut ist
  • Ob WiFi / Bluetooth verfügbar ist
  • Welcher Mobilfunkanbieter (Vodafone)
  • distinct_id=0472049e-5be2-41a3-8925-5eeeb4ee37d9
  • […]

[2] Weiterhin wird der Analysedienst Crashlytics (Firmensitz Boston, USA – gehört zu Google) mit folgenden Daten beliefert [*.crashlytics.com]:

  • X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Redmi Note 4
  • X-CRASHLYTICS-OS-BUILD-VERSION: 629863f5a9
  • X-CRASHLYTICS-OS-DISPLAY-VERSION: 7.1.2
  • X-CRASHLYTICS-ADVERTISING-TOKEN: c2639f11-626a-4292-9574-6a0e632e1ea5 (Google Advertisting-ID)
  • X-CRASHLYTICS-INSTALLATION-ID: b34889ce749c4051ab35600ab6833179
  • […]

[3] Als weiterer App-Tracker wird Branch.io (Firmensitz Redwood City, USA) eingesetzt, an den unter anderem folgende Daten übermittelt werden [api.branch.io]:

  • hardware_id: cd20962404918a3c – Eindeutige Android-Geräte ID
  • is_hardware_id_real :true – Ob es sich um richtige Hardware oder einen Emulator handelt
  • Gerätemodell
  • Displayauflösung
  • local_ip: 192.168.50.25 – Lokale IP-Adresse im privaten / internen Netzwerk
  • facebook_app_link_checked: false
  • google_advertising_id: c2639f11-626a-4292-9574-6a0e632e1ea5
  • Installationszeitpunkt
  • device_fingerprint_id: 540059431808003426
  • wifi: true
  • […]

[4] Auch der Google-Tracker »app-measurement.com« fehlt nicht, der den Google-Cloud-Messaging (GCM) Nachfolger Firebase-Cloud-Messaging (FCM) standardmäßig mit Daten beliefert, sofern die Entwickler dies nicht aktiv deaktivieren [app-measurement.com]:

GET /config/app/1%3A478605343799%3Aandroid%3Ad7248bb5c7ebce70?app_instance_id=2ae7e16f0f79c2795e9d1b1c1693a99e&platform=android&gmp_version=13280 HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F)
Host: app-measurement.com
Connection: close
Accept-Encoding: gzip, deflate

Leider können wir die Daten nicht einsehen, da Google eine zusätzliche Verschlüsselung darüber legt.

[5] Schließlich registriert sich die App noch am GCM- / FCM-Dienst von Google, um Push-Benachrichtigungen zu erhalten:

POST /c2dm/register3 HTTP/1.1
Authorization: AidLogin 4313553650077616773:2019295061565534427
app: eu.uvita
gcm_ver: 13280021
User-Agent: Android-GCM/1.5 (mido NJH47F)
Content-Length: 372
content-type: application/x-www-form-urlencoded
Host: android.clients.google.com
Connection: close
Accept-Encoding: gzip, deflate

X-subtype=478605343799&sender=478605343799&X-app_ver=5703&X-osv=25&X-cliv=fiid-12451000&X-gmsv=13280021&X-appid=cZ__mgpHyqo&X-scope=*&X-gmp_app_id=1%3A478605343799%3Aandroid%3Ad7248bb5c7ebce70&X-app_ver_name=1.16&app=eu.uvita&device=4313553650077616773&cert=0b1e4f06dd20169cba96ddb6a528bd8b6eb16203&app_ver=5703&info=U8qwdvxavoEXQEb1aBJ6XhyiES7lJBY&gcm_ver=13280021&plat=0

Bis zu dieser Stelle habe ich kein einziges Mal mit der App interagiert, sondern diese lediglich gestartet. Zum Hersteller oder einer Krankenkasse wurde bisher keine Verbindung initiiert.

App-Interaktion: Account-Erstellung

[1] Damit man Vivy nutzen kann, muss man ein Konto anlegen. Dort wird man gebeten einen Namen einzugeben und die Krankenversicherung zu nennen. Mixpanel findet das offenbar interessant, ermittelt wieder jede Menge Geräte- und Metadaten und übersendet die Auswahl der Kasse [*.mixpanel.com]:

[...]
"time":1537255406,
"distinct_id":"0472049e-5be2-41a3-8925-5eeeb4ee37d9",
"selected_insurance":"techniker-krankenkasse",
"completed_step":"insurance_list"}
[...]

[2] Da die Techniker Krankenkasse einen Einladungscode benötigt, habe ich die Barmenia gewählt, die bereits mit Vivy zusammenarbeitet. Nach Auswahl der Krankenkasse Barmenia soll eine E-Mail-Adresse und Passwort angegeben werden. Erst nach diesem Vorgang wird der Nutzer per Schieberegler dazu aufgefordert, den Nutzungsbedingungen zuzustimmen und die Datenschutzerklärung anzuerkennen – nach meiner Auffassung wird die Zustimmung viel zu spät eingeholt. Auch dieser Schritt wird wieder von Mixpanel verfolgt bzw. protokolliert [*.mixpanel.com]:

[...]
"completed_step":"email_address"
"completed_step":"password"
[...]

[3] Nach der Erstellung des Kontos soll der Nutzer eine Handynummer angeben, um »sein Konto zu schützen«. Dazu wird ein weiterer Drittservice bemüht:

Für die 2-Faktor Authentifizierung mittels SMS nutzen wir den Service der Twilio Inc. 375 Beale Street, Suite 300, San Francisco, CA 94105, wofür wir die Telefonnummer weiterleiten.

Auch dieser Schritt wird wieder von Mixpanel verfolgt bzw. protokolliert [*.mixpanel.com]:

[...]
"completed_step":"2_factor_authentication"
[...]

Nach der Registrierung breche ich die weitere Analyse ab – das genügt mir für einen ersten Kontakt.

Mein Fazit: Eine App, die sensible Gesundheitsdaten verarbeitet, sollte die höchsten Anforderungen und (Nutzer-)Ansprüche an Datenschutz und Sicherheit erfüllen – bei Vivy kann ich das leider nicht erkennen. Denn noch bevor der Nutzer überhaupt die Möglichkeit hat, in die Datenschutzerklärung einzuwilligen, werden zahlreiche Informationen an Drittanbieter (Tracking-Unternehmen im Ausland) übermittelt.

Sind unsere Ansprüche an einen sicheren, sensiblen und datenschutzfreundlichen Umgang mit unseren (Gesundheits-)Daten wirklich schon auf so einem Tiefpunkt angekommen? Wie kann es sein, dass solche Anbieter / Apps dazu autorisiert werden, die Verwaltung von aktuell 13,5 Millionen Krankenversicherten zu ermöglichen?

Die App wirft etliche Fragen auf – persönlich kann ich von einer Nutzung nur abraten. Dazu muss man die App eigentlich gar nicht installieren, denn ein kritischer Blick in die Datenschutzerklärung reicht dazu eigentlich schon aus. Danke nein, dürft ihr behalten.

Du kannst den Blog aktiv unterstützen! Mitmachen ➡