Joggen unter strenger Überwachung mit Runtastic von Adidas

Runtastic vervielfacht die Tracer und lässt Ihren Namen durchsickern

Da ich regelmäßig jogge, wollte ich mehr über „Fitness“-Anwendungen erfahren, angefangen mit Runtastic. Diese Anwendung wurde im Jahr 2015 von Adidas gekauft und seitdem in „adidas Running by Runtastic“ umbenannt. Fitnessanwendungen eignen sich zwar hervorragend, um sich selbst zu motivieren und Ihre Fortschritte zu messen, sie sammeln jedoch auch recht sensible personenbezogene Daten wie:

• Ihre körperliche Aktivität: Diese Daten können beispielsweise für Versicherungsgesellschaften von Interesse sein, denn wenn Sie in einer besseren Verfassung sind, sind Sie profitabler (in den Vereinigten Staaten bietet ein Versicherer bereits an, seine Preise zu senken, wenn Sie ein Gesundheitsarmband tragen).
• Ihre Sportreisen: Insbesondere von zu Hause oder von der Arbeit aus, aber nicht nur, sind diese Daten für Werbetreibende von besonderem Interesse.

Google machte keinen Fehler und beschloss letztes Jahr, Fitbit zu kaufen und ergänzte damit die Masse und Vielfalt der persönlichen Daten, die das Unternehmen über einen großen Teil der Weltbevölkerung speichert.

Um die von Runtastic installierten Tracking-Tools anzuzeigen, bin ich auf meinem iPhone wie folgt vorgegangen:

• Schließen der verschiedenen Hintergrundanwendungen.
• Start der Anwendung Charles Proxy und Aktivierung des Trackings.
• Start der Runtastic-Anwendung, anschließende Navigation in der App einschließlich des Starts einer Aktivität.
• Export von Protokollen aus meiner Charles Proxy-Sitzung auf meinen Computer.

Wie Sie sehen, ruft Runtastic viele Dritte an. Schauen wir uns diejenigen an, die Sie verfolgen:

• Google: wesentlich, Runtastic verwendet Firebase, die Google-Toolbox für Apps.
• Facebook: Ebenfalls wichtig, Runtastic nutzt die Facebook Toolbox für Apps und insbesondere den Analysebaustein.
• Pushwoosh: Toolbox für Anwendungen, insbesondere zur Bereitstellung von Benachrichtigungsdiensten, E-Mails und personalisierten In-App-Nachrichten. Böse Überraschung: Zusätzlich zum Senden eines Pseudonyms und Ihrer verschiedenen Aktionen gibt Runtastic Ihren Vornamen, Ihren Nachnamen, Ihr Geschlecht und Ihre Altersgruppe bekannt.
• NewRelic: Tool zum Messen der Leistung der Runtastic-Anwendung, besonders nützlich für Entwickler.
• Adjust: Mobile-Marketing-Unternehmen, das sich auf die Zuordnung von Werbekampagnen spezialisiert hat (wissend, welche Anzeige Sie installiert haben Runtastic). Adjust erfasst Ihre Aktionen in der Runtastic-App.
• Emarsys: Datenmarketing-Unternehmen, das es Runtastic ermöglicht, Sie umfassend zu profilieren, um Sie dann besser erneut anzusprechen. Emarsys stellt somit die Details Ihrer Aktivitäten wieder her: die zurückgelegte Distanz, die Dauer der Übung, die Anzahl der verbrannten Kalorien, Ihre Eindrücke am Ende der Übung, das Wetter, die Art der Aktivität, die Außentemperatur usw.

Massenhafte Sammlung personenbezogener Daten und Weitergabe an Dritte ohne gültige Rechtsgrundlage

Als ich Runtastic zum ersten Mal startete, hatte ich leider keine andere Wahl: Ich musste die Nutzungsbedingungen akzeptieren, um die Anwendung nutzen zu können.

Anschließend konnte ich den Erhalt gezielter Runtastic-Werbung auf Drittplattformen wie Google und Facebook ablehnen (jedoch ohne diesen Dritten die Erhebung meiner personenbezogenen Daten verbieten zu können):

Beachten Sie die Schaltfläche „Akzeptieren“, die im Vergleich zu „Ich lehne ab“, einem weiteren Beispiel für Dark Pattern, deutlich hervorgehoben ist.

In der Datenschutzerklärung von Runtastic sind die verschiedenen erfassten personenbezogenen Daten detailliert aufgeführt. Sie können Abschnitt 3. „Daten, die wir sammeln und verarbeiten“ lesen, um die Vielfalt und den Umfang der gesammelten personenbezogenen Daten besser zu verstehen (und damit besser zu verstehen, warum Google Fitbit gekauft hat). Hier sind die verschiedenen Kategorien personenbezogener Daten:

• Identitätsinformationen.
• Kontaktdaten.
• Standortinformationen.
• Informationen zu Größen und Schuhgrößen.
• Kaufinformationen.
• Profil- und Verhaltensinformationen.
• Community-Informationen.
• Informationen zu sozialen Medien.
• Geräteinformationen.
• Aktivitätsinformationen.
• Präferenzinformationen.
• Informationen zum Creators Club.
• Registrieren Sie sich mit Google oder Facebook.
• Freundesliste Facebook.
• Informationen zu Schulungsaktivitäten, die aus verbundenen Konten importiert wurden.

Für jede Empfängerkategorie informiert Runtastic über die Kategorien der übermittelten personenbezogenen Daten hier.

Anschließend erklärt Runtastic ausführlich die Verwendung von Firebase, Google Analytics, Adjust und Facebook Analytics. Weiter unten in der Datenschutzerklärung gibt Runtastic kurze Informationen zu den verschiedenen Anbietern, die wir zuvor gesehen haben:

Wir nutzen Subunternehmer wie Adjust, Google, Facebook, Amazon Web Services, Inc., Emarsys eMarketing Systems AG, Pushwoosh, Inc., NewRelic, Inc., Apptimize, Inc. oder Zendesk, Inc.

Wenn diese Erklärungen lobenswert sind, gibt Runtastic an, dass es sich auf ein berechtigtes Interesse stützt (lesen Sie die CNIL-Dokumentation zu dieser Rechtsgrundlage), Ihre personenbezogenen Daten an diese Dritten weiterzugeben: „Die Grundlage für die Datenverarbeitung sind unsere berechtigten Interessen“. Diese Auslegung der DSGVO ist jedoch nicht gültig. Informationen zu Analysetools finden Sie auf dieser Seite der CNIL:

Wenn das vom Datenverantwortlichen implementierte System die Kriterien der beiden vorherigen Fälle nicht strikt einhält, kann nur die Einwilligung der Personen als Rechtsgrundlage für die Verarbeitung herangezogen werden (Artikel 7 des Datenschutzgesetzes, Artikel 6 der DSGVO). Diese Einwilligung kann auf beliebige Weise eingeholt werden (z. B. Verbindung zu einem bestimmten WLAN-Netzwerk, Herunterladen einer bestimmten Anwendung, Registrierung über eine spezielle Website, „Kennzeichnung“ des Terminals mit einem NFC-Terminal). Diese Einwilligung muss informiert (Einzelpersonen müssen vor ihrer Einwilligung gemäß dem nachstehenden Punkt informiert werden), frei (Einzelpersonen müssen frei entscheiden können, ob sie einwilligen oder nicht, und dürfen keine negativen Konsequenzen erleiden, wenn sie nicht einwilligen) und spezifisch (Einwilligungen dürfen sich nur auf die Nachbehandlung beziehen und können beispielsweise nicht in die Annahme von AGB einbezogen werden).

Runtastic kann sich daher nicht auf ein berechtigtes Interesse berufen und muss meine Zustimmung einholen, um meine personenbezogenen Daten an Dritte wie Google, Facebook oder Adjust weiterzugeben. Insbesondere bedeutet die Annahme der AGB nicht, dass ich dieser Überwachung zugestimmt habe.

Allerdings beruft sich Runtastic weiterhin auf die Rechtsgrundlage des berechtigten Interesses, wie auch in Abschnitt 8.1 seiner Datenschutzrichtlinie „Rechtsgrundlagen“ dargelegt:

Die Rechtmäßigkeit der Verarbeitung von Daten hat ihren Ursprung in den berechtigten Interessen von Runtastic oder einem Dritten, zum Beispiel unserer Verwendung von Cookies, Plug-Ins oder gezielter Werbung.

Selbstverständlich kann der Einsatz von Cookies, Plug-Ins oder zielgerichteter Werbung nicht auf berechtigten Interessen beruhen.

Es ist erstaunlich zu sehen, dass ein bekannter deutscher Konzern (Adidas) personenbezogene Daten von Millionen Nutzern in diesem Umfang ohne gültige Rechtsgrundlage sammelt. Genauso erstaunlich ist, dass Adidas sich nicht darauf beschränkt, Marketingtools einzusetzen, die Ihre personenbezogenen Daten preisgeben, ebenfalls ohne gültige Rechtsgrundlage. Was können Sie tun, um Datenlecks an Drittanbieter-Tools zu verhindern? Während Sie auf eine mögliche Sanktion einer zuständigen Aufsichtsbehörde warten, können Sie unter iOS Apps wie DNSCloak, AdGuard oder NextDNS nutzen.