GrapheneOS und meine Krankenkasse

Michael1956 · 15. April 2026 um 15:39

Hallo Forum,

jetzt habe ich erfolgreich GrapheneOS auf meinem Pixel9 im Einsatz - ganz der Hoffnung den Trackingversuchen einigermaßen Herr geworden zu sein - da kommt meine Krankenkasse mit einer ganz, ganz tollen Idee daher.

Ihre Desktop-Anwendung wird kurzerhand eingestampft und ich gezwungen, eine Smartphone-App zu installieren.

Nach einigen Startschwierigkeiten habe ich die gewünschte App installiert und will diese starten.

F E H L E R …

Es könnte sein, so sagt mein Smartphone, dass die App das C2DM (Cloud to Device Messaging) einsetzen will, um herauszufinden, ob es eine neue Version dieser App im Google-Play-Store gibt (Berechtigung: com.google.android.c2dm.permission.RECEIVE)

Und was, wenn ich nicht will, dass die App in der Google-Cloud nachfragt (mit welchen personenbezogenen Daten von mir auch immer) ?

Dann funktioniert die App eben nicht, basta.

Mir bleibt zukünftig die postalische Kommunikation zu meiner Krankenkasse → schöne neue Welt

Viele Grüße

Michael

kachelkaiser · 15. April 2026 um 16:15

Welche KK ist es denn?

zebragruen · 15. April 2026 um 16:57

Bei mir läuft die TK App aus Aurora. Ohne Probleme.

Greta · 15. April 2026 um 18:44

@Michael1956

Ich würde auch mal die App über Aurora herunterladen. Die App meiner Krankenkasse läuft so auch ohne Probleme.

olmax · 15. April 2026 um 22:17

Echt? Ohne beim Öffnen Play Services zu verlangen? Die aktuelle Version? Und nutzt Du auch die TK Ident App?

zebragruen · 16. April 2026 um 04:32

Pixel 8a, nur die TK App. GOS aktuelle Version. Nein, er versucht nicht, mich zu Google zu ziehen.

olmax · 16. April 2026 um 06:32

Interessant. Über den Play Store - also die Google App - installiert verweigert die TK App von Anfang an ihren Dienst, wenn die Play Services/Store nicht laufen. Reicht auch nicht, wenn sie nur installiert, aber deaktiviert sind. Zumindest war das bis vor ca. zwei Monaten noch so.

kachelkaiser · 16. April 2026 um 06:45

Hier auch. App startet nicht, weil der Play Store fehlt.

zebragruen · 16. April 2026 um 08:19

kachelkaiser · 16. April 2026 um 08:46

Aber dann läuft das doch in einem Profil MIT Play Services. Ohne ist die App nicht lauffähig.

kuketzblog · 16. April 2026 um 08:54

Eigentlich ist das unter GrapheneOS recht simpel: Die TK-App läuft im vertrauenswürdigen Profil problemlos, wenn die Play Services installiert sind und die App ursprünglich über den Play Store installiert wurde. Danach kann man Play Services und Play Store die Netzwerkberechtigung entziehen, sodass nichts mehr nach draußen funkt. Nur für Updates muss man das gelegentlich kurz wieder aktivieren. So lässt sich die TK-App auch unter GrapheneOS recht pragmatisch nutzen. Ist zwar nicht schön, aber es funktioniert.

Michael1956 · 16. April 2026 um 09:04

Hallo Forum,

selbstverständlich habe ich die App von Aurora auf mein Smartphone geladen und die aktuellste Version von Google-Play-Services aus dem GOS-Store heruntergeladen.

Ich denke nicht, dass meine KK die Kapazität und Kompetenz hat, solch eine App zu erstellen, weiter zu entwickeln und diese zu distribuieren, sie wird sie von irgendwoher beziehen und mit eigenen Logos versehen unter das Volk bringen.
Heißt für mich auch, dass diese App bei anderen KK Anwendung finden wird.

Ich habe mir die Datenschutzerklärung meiner KK - speziell für die OnlineServiceApp - angesehen. Dort wird explizit behauptet, Zitat:

Die BKK XXX hat keinerlei Einfluss auf die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Zusammenhang mit Ihrer Registrierung und der Bereitstellung von Downloads in dem jeweiligen App-Store und der App-Store-Software. Verantwortliche Stelle ist allein der Betreiber des jeweiligen App-Stores.

Nein das stimmt nicht. Die Berechtigungsübersicht zeigt ganz eindeutig, dass diese App in Abhängigkeit zu Google entwickelt wurde, guckst du:

Kein Mensch in D kann versichern, was Google mit unseren Daten wirklich macht, keiner.

In den Datenschutzerklärungen heißt es weiter, Zitat:

Dabei können auch von der BKK XXX eingesetzte Dienstleister zu diesem Zweck Zugriff auf diese Daten erhalten, wenn Sie das Sozialgeheimnis wahren.

Ich verweise auf meine obige Aussage hierzu.

Wenn schon Sozialversicherungsträger eng mit Google verbunden sind, brauchen wir uns um Datenklau keine Gedanken mehr zu machen. Datenschutz ist dann nicht mal das Papier wert, auf dem es gedruckt wird.

Viele Grüße
Michael

kuketzblog · 16. April 2026 um 09:08

Der erste Fehler ist schon die Installation über Aurora. Viele Apps prüfen, ob sie sauber über den Play Store installiert wurden und ob die Play-Umgebung korrekt vorhanden ist. Passt das nicht, verweigern sie den Dienst – unabhängig davon, ob die APK identisch ist.

Die Datenschutzschlüsse gehen ebenfalls ins Leere. Dass der App Store unter Googles Verantwortung fällt, ist korrekt, hat aber mit der eigentlichen App nur bedingt zu tun. Auch die Berechtigungen taugen nicht als Beweis für Datenabfluss, sondern zeigen nur, was technisch möglich wäre.

Wenn du es pragmatisch lösen willst: App einmal regulär über den Play Store installieren, danach Play Services die Netzwerkberechtigung entziehen. Die App läuft weiter, aber es geht nichts mehr raus. Für Updates gibst du die Verbindung kurz wieder frei.

Und wenn du wirklich wissen willst, was die App tut, kommst du um eine Analyse des Netzwerkverkehrs nicht herum. Alles andere bleibt Spekulation.

Michael1956 · 16. April 2026 um 09:25

@kuketzblog

Folgendes habe ich zu C2DM (Android Cloud to Device Messaging) gefunden,

Die meisten mobilen Apps benötigen Daten aus dem Internet. Ein Ansatz zur Aktualisierung dieser Daten besteht darin, dass die Apps in regelmäßigen Abständen einen Server nach neuen Daten abfragen (Polling). Sind keine neuen Daten verfügbar, beansprucht dieser Ansatz unnötig Netzwerkbandbreite und belastet den Akku des Mobiltelefons.

Ein alternativer Ansatz besteht darin, dass der Server die mobile App benachrichtigt, sobald neue Daten verfügbar sind (Push). Wenn sich die Daten nicht ständig ändern, ist Push die bevorzugte Lösung.

Diese App ist also so programmiert, dass sie zuerst an der Google-Cloud anfragt, ob eine neue Version vorhanden ist. Welche Daten von mir sie dafür abliefern soll, kann ich nicht sagen.
Da die App mangels installiertem Google-Play-Store keinen Zugriff erhält, verweigert sie die weitere Ausführung.

Viele Grüße
Michael

olmax · 16. April 2026 um 10:52

Hah, daran hatte ich bis jetzt noch gar nicht gedacht, das so zu probieren. Danke für die Eingebung.

Bei der TK Ident App - die zwar keinerlei Play Services oder Store verlangt - ist allerdings blöd, dass sie bislang nur mit deaktiviertem Secure App Spawning funktioniert - was leider nur systemweit geht und bei jeder De-/Aktivierung einen System-Reboot erfordert.

ekle222 · 19. April 2026 um 17:44

Die TK-Ident-App lässt sich auf einem LOS23-System (root deaktiviert) nicht installieren (Aurora store, da google play services über microG).
Ws kommt die Meldung: “App für das Gerät nicht verfügbar).

Auf Nachfrage bei der TK wurde gesagt, dass die App auch auf Custom-ROMs prüft und wenn ein solches entdeckt wird (wie genau, weiß ich nicht), die App die Installation verweigert.

Auch bei Konfiguration eines weiteren Profils (inkl. orig. google play services) klappt es nicht, auch da “merkt” die App anscheinend, dass ein Custom-ROM im Speil ist.

Als Grund nannte die TK, dass Custom-ROMs nicht sicher genug seien.

TheHuesemer · 19. April 2026 um 18:49

Zitat: Ein alternativer Ansatz besteht darin, dass der Server die mobile App benachrichtigt, sobald neue Daten verfügbar sind (Push). Wenn sich die Daten nicht ständig ändern, ist Push die bevorzugte Lösung.

Bedeutet aber auch dass die App lauschen muss, da finde ich aktives Nachfragen eher als Willenserklärung.

xxx · 22. Mai 2026 um 12:18

Es ist zum Schreien mit diesem blöden Appwahn:

https://civi.digitalcourage.de/recht-auf-leben-ohne-digitalzwang

Kannst dort auch mitmachen. Allein aus Prinzp.

Tip habe ich leider keinen parat.