Ihre personenbezogenen Daten im Ausverkauf mit Runkeeper von Asics

Sie möchten allein laufen? Die Fitness-App von Asics gibt Ihre personenbezogenen Daten an zahlreiche Dritte weiter und bietet keine eigene Datenschutzerklärung

Veröffentlicht von Pixel de Tracking am 31. Mai 2020

Runkeeper vervielfacht die Tracker und gibt Ihre E-Mail in der URL eines Drittanbieter-Tools preis

Nachdem ich ausführlich beschrieben habe, wie Runstatic Ihre personenbezogenen Daten ohne gültige Rechtsgrundlage preisgibt, wollte ich prüfen, ob sein Konkurrent Runkeeper es besser macht. Genau wie Runstatic, 2015 von Adidas übernommen, weckte auch Runkeeper Begehrlichkeiten und wurde 2016 von Asics gekauft. Auch Nike, der Marktführer unter den Sportausrüstern, steht nicht abseits: Das Unternehmen bietet ebenfalls eine eigene App an, Nike Training Club.

Ihre sportlichen Aktivitäten und ganz allgemein Ihre Gesundheitsdaten sind strategisch wertvoll. Die Sportausrüster haben schnell reagiert, werden inzwischen aber von den digitalen Riesen begleitet:

  • Google bietet seit einigen Jahren seine App Google Fit an. Außerdem hat Google im vergangenen Jahr Fitbit übernommen.
  • Apple bietet die Apple Watch, die meistverkaufte Smartwatch der Welt, und die App Apple Health an. Dabei ist Apple respektvoller im Umgang mit Ihren personenbezogenen Daten, weil das Ziel ein anderes ist: hochwertige Geräte verkaufen, nicht Ihre Daten erfassen. Die Daten der Health-App sind daher Ende-zu-Ende-verschlüsselt, was bedeutet, dass Apple sie nicht lesen kann.

Runkeeper hatte bereits Probleme wegen des schlechten Umgangs mit den personenbezogenen Daten seiner Nutzer. 2016 wurde die App von der norwegischen Verbraucherschutzbehörde beschuldigt, personenbezogene Daten, darunter Geolokalisierungsdaten, an einen Dritten (Kiip.me) zu übertragen, selbst wenn die App inaktiv war. Haben sich die Praktiken geändert? Um mögliche Datenlecks von Runkeeper an Drittunternehmen zu untersuchen, bin ich auf meinem iPhone folgendermaßen vorgegangen:

  • Schließen der verschiedenen Hintergrundanwendungen.
  • Start der Anwendung Charles Proxy und Aktivierung des Trackings.
  • Start der Anwendung Runkeeper, dann Navigation in der App inklusive Start einer Aktivität.
  • Export von Protokollen aus meiner Charles Proxy-Sitzung auf meinen Computer.

Runkeeper iOS

Runkeeper ist sehr gesprächig. Hier sind die Unternehmen, die Sie tracken:

  • Google: Der Riese aus Mountain View ist überall. Runkeeper nutzt Firebase, Googles Werkzeugkasten für Apps, um Abstürze über Crashlytics zu messen, die App über Remote Config zu personalisieren und A/B-Tests durchzuführen. Runkeeper nutzt außerdem Google Ad Manager, den Adserver für Publisher, um Werbung auszuliefern.
  • Facebook: Der Riese aus Palo Alto ist ebenfalls überall. Runkeeper nutzt den Facebook-Werkzeugkasten für Apps. Oft ist schwer zu erkennen, warum eine App Facebook einbindet, da dieser Werkzeugkasten viele Funktionen enthält, etwa Analytics oder Werbe-Retargeting.
  • Iterable: Mobile-Marketing-Unternehmen, mit dem Runkeeper Sie segmentieren kann, um Sie anschließend per Benachrichtigung, In-App-Nachricht, SMS oder personalisierter E-Mail besser erneut anzusprechen. Böse Überraschung: Runkeeper gibt Ihre E-Mail-Adresse im Klartext an Iterable weiter, direkt in der URL. Hier ist die fehlerhafte URL: https://api.iterable.com/api/inApp/getMessages?count=100&email=XXX&SDKVersion=6.2.2&packageName=RunKeeperPro&platform=iOS.
  • Appsflyer: Mobile-Marketing-Unternehmen, das unter anderem ein Attributionsprodukt anbietet. Damit kann Runkeeper nachvollziehen, welche Werbekampagnen zur Installation der App geführt haben.
  • Amplitude: Analytics-Tool, mit dem Runkeeper Ihr Verhalten in der App detailliert analysieren kann. Auch hier wird alles getrackt: jeder angesehene Bildschirm, das Modell Ihres Smartphones, Ihr Mobilfunkanbieter, Ihre Smartphone-ID, aber auch die Art der Aktivität, Ihre Schuhmarke, die Anzahl der Schritte, die zurückgelegte Strecke, die Dauer der Aktivität oder die Anzahl Ihrer Freunde in der App.

Wenn man sich die an Google Ad Manager übermittelten Informationen genauer ansieht, also an das Google-Tool, mit dem Runkeeper Werbung ausliefert, sieht man, dass Runkeeper viele Informationen über das Feld „_custparams“ der Anfrage https://pubads.g.doubleclick.net/gampad/ads preisgibt. Diese Art von Datenleck hatten wir bereits bei Spotify gesehen. Google sammelt unter anderem:

  • Ihr Geschlecht.
  • Ihre Altersgruppe.
  • Informationen zu Ihrem längsten Lauf (eine Spanne für Kilometer und Dauer).
  • Informationen zum Durchschnitt Ihrer Läufe (eine Kilometerspanne).
  • Informationen zur Anzahl Ihrer Läufe (ebenfalls eine Spanne).
  • Ob Sie schon einmal Rad gefahren sind oder nicht.
  • Ob Sie schon einmal geklettert sind oder nicht.
  • Ob Sie schon einmal gegangen sind oder nicht.

Diese Informationen werden von Runkeeper bewusst an Google Ad Manager gesendet, um Sie besser anzusprechen: Runkeeper kann so Nutzern, die bereits geklettert sind, Werbung für Bergsteigerausrüstung anzeigen.

Runkeeper verfügt über keine spezielle Datenschutzrichtlinie!

Wie kommuniziert Runkeeper über die Nutzung Ihrer personenbezogenen Daten? Überraschung: Asics macht sich nicht die Mühe, eine eigene Datenschutzerklärung für die Runkeeper-App anzubieten. Stattdessen werden Sie zur Datenschutzerklärung von Asics weitergeleitet, deren Marken neben Asics und Runkeeper auch Onitsuka Tiger und Haglöfs umfassen.

Unter diesen Bedingungen ist diese Datenschutzerklärung schwer zu analysieren. Wie bereits bei Runstatic festgestellt, sind die von Asics erfassten personenbezogenen Daten umfangreich, doch die Erklärung vermischt die vier Marken von Asics. Wenn man sich dennoch den Abschnitt „Wie geben wir Ihre Daten weiter?“ ansieht, schreibt Asics:

Partner. ASICS bietet Ihnen manchmal in Zusammenarbeit mit seinen Partnern einen Service oder eine Anwendung an. Wir können Ihre personenbezogenen Daten auch an diese Partner weitergeben, jedoch nur, wenn Sie Ihre Einwilligung gegeben oder uns darum gebeten haben.

Das ist gelogen, denn Runkeeper bietet nichts an, um die Einwilligung der Nutzer einzuholen. Es geht sogar noch weiter: Wie wir gesehen haben, übermittelt Runkeeper Ihre personenbezogenen Daten an Google, Facebook, Iterable (einschließlich Ihrer E-Mail), Appsflyer und Amplitude. Sie werden über dieses Datenleck nicht informiert, Sie haben keine Kontrolle darüber, und Runkeeper bietet keine Möglichkeit, dieses Tracking zu deaktivieren.

Was können Sie tun, um Datenlecks an Drittanbieter-Tools zu verhindern? Wie bei Runstatic und bei vielen Apps können Sie, während Sie auf eine mögliche Sanktion einer zuständigen Aufsichtsbehörde warten, unter iOS Apps wie DNSCloak, AdGuard oder NextDNS nutzen.