Datensendeverhalten von Apps als Laie selbst prüfen

Gibt es ein einfaches Werkzeug oder eine Schritt-für-Schritt-Anleitung, womit man als Nicht-Nerd (ich sag mal: datenschutzsensibler Laie) das Datensendeverhalten einer App (auf einem weitgehenden anonymisierten Handy ohne SIM) selbst überprüfen kann, ehe man sie „scharf“ auf sein normales Handy loslässt? Wenn es mit Netguard ginge, wie?

Hintergrund: Ich habe wegen Vorbehalten gegenüber dem Datensendeverhalten von Deutschlandticket-Apps das Deutschlandticket als Chipkarte. Mein Arbeitgeber bietet es als Jobticket mit Preisvorteil, aber nur auf einer vorgegeben App oder garnicht.

In diesem Beitrag wurde mal eine Anleitung verlinkt.
Und ein Beitrag darunter von Mike → App-Verkehr mitschneiden

Mit NG könnte man nur sehen, ob und wohin die App eine Verbindung aufbauen möchte, nicht jedoch welche Daten gesendet werden. Könnte für eine erste Einschätzung ggfs. hinreichend sein. Die dazu benötigte Protokoll-Funktion ist in der Pro-Version enthalten (Details siehe HIER).

Danke für die Tips. Rufpostens tracktor.it ampfahl ja PCAPdroid, und laut einem ersten Mitschnitt (ohne daß ich Kundendaten hinterlegt habe) wurden u. a. Verbindungen zu appcenter.ms, amazonaws.com, googleapis.com und ica-webshop.com aufgebaut und Daten gesendet.

ICA ist offenbar der Entwickler der App, und auf seiner Webpräsenz wirbt der Anbieter wie folgt für seine Deutschlandticket-App:

Das erweckt für mich den Eindruck, dass das Deutschlandticket nur das Mittel zum Zweck ist, nämlich Daten über den Nutzer ze bekommen und weiterzuverwenden. Oder lege ich da jetzt zuviel hinein?

1 „Gefällt mir“

Der Preisvorteil kann aktuell maximal EUR 49.- betragen. Wenn ich die Chipkarte schon hätte und soll das gegen eine App tauschen, so würde ich angesichts der gebotenen Leistung auf die Ersparnis dankend verzichten. Das muss aber jeder selber entscheiden.

Woraus schließt Du das ?

Ich sehe da bisher keine Verbindungen, die nicht ggfs. zur Erbringung der Funktion der App mglw. technisch erforderlich sein könnten und per se ausschließlich für Trackingzwecke benutzt würden. Ob und welche Daten konkret abfließen, müsste man jetzt entsprechend analysieren. Was sagt denn die Datenschutzerklärung ? Sind die besagten Verbindungen dort mit dem dahinterstehenden Zweck dargelegt ?

Sehe ich auch so: was denkt man sonst, wie es gelungen ist, das allen Verkehrsunternehmen schmackhaft zu machen?

Wieso abfließen? Der Kunde gibt sie ja freiwillig hin. Das ist der „Trick“.

Das Deutschlandticket ist doch kein Akt der Wohltätigkeit!

Ich wollte die App eigentlich nicht nennen, aber ich nenn mal Ross und Reiter. Es ist die Deutschland-Tickt-App der EB*. Es wurden bislang keine Einverständnisse abgefordert, und die Datenschutzerklätung befindet sich auch nicht in der App selbst, sondern diese verlinkt auf die Datenschutzerklärung auf der EB-Website.

Ganz unten gibt es dort noch einen Punkt „Datenschutzbestimmungen von Dienstleistern“, in dem auf die Datenschutzbestimmungen von Telecash (offenbar der Zahlungsdienstleister) und ICA (der App-Entwickler) verlinkt wird.

Bei ICA fällt die umfangreiche Nutzung von Google Analytics auf. Es gibt nur einen Hinweis, wie man das im Browser unterbinden kann, nicht in der App.

Bei Telcash ist ein Haufen PDF-Dateien verlinkt, die ich jetzt nicht analysiert habe. Transparenz sieht anders aus.

*) Erfurter Bahn (ein Scheinenverkehrsunternehmen, das Nahverkehrslinien in Thüringen, Bayern, Sachsen-Anhalt und Sachsen bedient)

https://reports.exodus-privacy.eu.org/de/reports/de.eb.app/latest/

Hast Du mal trackercontrol oder netguard probiert? Da kannst Du eigtl. ohne großen Aufwand zumindest einen Eindruck gewinnen, mit welchen Servern sich eine app verbindet. Hier findest Du entsprechende Hilfe und Screenshots, was Du durch Aktivierung des logging ermitteln kannst: https://netguard.me