Aus Datenschutzgründen halte ich das für sehr bedenklich, zumal die österreichische Datenschutzbehörde im Dezember 2021 „Google Analytics“ für nicht rechtskonform einsetzbar erklärte und diese Entscheidung von der französischen Datenschutzbehörde im Februar 2022 bestätigt wurde.
Der Tracker von Huawei trägt auch nicht gerade dazu bei, der Beihilfe-App zu vertrauen.
Wie sieht es mit der DSGVO und dem rechtskonformen Einsatz dieser drei Tracker Ihrer Ansicht nach aus?
Ich halte es für zwingend notwendig, alle Tracker aus der Beihilfe-App zu entfernen, wenn diese rechtskonform einsetzbar sein soll.
Über Ihre Antwort freue ich mich.
Mit freundlichen Grüßen
Hier die Antwort:
Sehr …,
bitte sehen Sie mir nach, dass ich Ihnen erst jetzt eine Rückmeldung zu dem von Ihnen vorgetragenen Sachverhalt geben kann.
Ich habe die Sache gegenüber den Finanzministerium NRW aufgegriffen.
Auf meine Fragen hin hat das Ministerium wie folgt Stellung bezogen:
Die BeihilfeNRW-App werde auf Grundlage der IBM GesundheitsApp genutzt. Eine Übermittlung personenbezogener Daten an Tracker erfolge auf dem Mobilgerät grundsätzlich nicht.
Zu den einzelnen genannten Funktionen könne man zumindest in der aktuellen Programmversion, die in den Stores befindlich sei, folgende Aussagen machen:
Crashlytics sei nicht aktiviert, wenn ein entsprechender Dienst auf dem mobilen Endgerät aktiv sei, so werde dieser vom System selber oder anderen Apps genutzt.
Huawei Mobile Services (HMS) Core werde nicht verwendet. Die App nutze keine Huawei—Bibliotheken. Sofern entsprechende Funktionen aktiv seien, so würden diese vom System selbst oder von anderen Apps verwendet.
Google Firebase Analytics werde nicht von der App nicht aktiv genutzt. Es werde lediglich eine „transitive Abhängigkeit“ genutzt. Eine explizite Hinzufügung als Abhängigkeit erfolge indes nicht und der Dienst sei auch nicht für das Tracking von Daten aktiviert/konfiguriert. Für die Realisierung von Push-Nachrichten verwende die App firebase-core, welches wiederum die Bibliotheken firebase-analytics und google-ads benötige. Die IBM GesundheitsApp nutze diese Bibliotheken aber nicht zur Übermittlung personenbezogener Daten an den Plattformbetreiber. Insbesondere schicke die App keine personenbezogenen Daten an Firebase. Es wird hier auf die Beschreibung der App im Google Playstore verwiesen.
Auch bei Nutzung des BeihilfeNRW App unter dem Betriebssystem der Firma Apple erfolge keine Übermittlung personenbezogener Daten.
Ich habe die Einlassung des Ministeriums meinem Technik-Referat zur Prüfung vorgelegt. Hiernach sind die o.a. Einlassungen nachvollziehbar.
Ich sehe daher keinen weiteren Handlungsbedarf, habe den Vorgang geschlossen und hoffe, dass ich Ihnen weiterhelfen konnte.
Mit freundlichen Grüßen
Im Auftrag
…
Kleine Anmerkung:
Inzwischen ist in der Version 1.49.0 „nur“ noch der Tracker „Google Firebase Analytics“ vorhanden.
das ist einfach nur „Unfassbar“ und es zeigt wie wenig Datenschutz in NRW gilt.
Alleine schon, wie lange man sich Zeit gelassen hat, ist eine Frechheit.
Es erfolgt keine Übermittlung an Apple… schon klar.
Die haben noch nie was von Prisam oder Snowden gehört.
Ich finde es aber sehr gut, dass du hier der Sache nachgegangen bist.
Außerdem, wenn etwas „nicht aktiv genutzt“ wird oder „nicht aktiviert“ sein soll, sollte man es auch nicht einbauen Der Berliner Landesdatenschützer hat diesbezüglich übrigens der DKB empfohlen, doch stattdessen auf UnifiedPush zu setzen: Das sei quelloffen und daher auch einfach auf Datenschutz zu prüfen
Echt nicht? Dann wundere ich mich, wie die anderen Daten ohne Verwendung eines Netzwerks übermittelt werden. War nicht die IP-Adresse auch ein „persönliches Datum“?
Eine IP-Adresse ist ein personenbezogenes Datum. Das stellte der EuGH in seinem Urteil vom 19.10.2016 – C-582/14 fest, danach ebenso der BGH in seinem Urteil vom 16.05.2017 – VI ZR 135/13. Dies gilt selbst für dynamische IP-Adressen, also solche Netzwerkadressen, die sich beispielsweise täglich ändern.
Danke für deine Anmerkungen, Izzy.
Ggf. werde ich dem Landesbeauftragten für Datenschutz in der nächsten Zeit einmal diese Einwände zukommen lassen.
Bin gespannt, ob er wieder 15 Monate für eine Antwort benötigt.
Viel Erfolg, @Greta! Kannst ja dann mal berichten. Ich werde wohl bzgl. der DKB nochmal nachhaken müssen: Dort hat man mir im Dezember den Zugang gesperrt. Eine entsprechende Mitteilung erfolgte angeblich ins „online Postfach“ (also auf deren Server – obwohl ich mehrfach darauf hingewiesen hatte, dort nicht regelmäßig nachzuschauen). Seltsam, als man etwas von mir wollte konnte man mir alle 2 Wochen eine Erinnerung per Mail schicken…
Deren App hat natürlich nach wie vor die „alten Tracker“ – weswegen ich dann wohl auf den Berliner Datenschutz-Beauftragen nochmal zutreten muss (der in diesem Fall dann „weitere Maßnahmen“ angekündigt hatte).
Ein trauriges Theater das alles. Aber wer schon in der Schule von den Flötenspielern des BigTech verführt wird, dem kleben die Scheuklappen gut. Da kann man solche Dinge nicht sehen, weil einem die ja von Anfang an als „normal“ verkauft wurden und man so nichts anderes gelernt hat…
Schreib mal, wie es mit der DKB weitergeht, @Izzy.
Ich glaube, wenn genug Kunden bei den Konzernen, Banken etc. hartnäckig nachfragen und zwar immer wieder, ändert sich vielleicht doch etwas.
Ich habe da bei einem privaten App-Entwickler bereits positive Erfahrungen gemacht.
Habe dem Landesbeauftragten für Datenschutz folgendes zurückgeschrieben und bin gespannt, ob ich wieder 15 Monate auf eine Antwort warten muss.
Sehr geehrter Herr Z,
vielen Dank für Ihre Mühen.
Inzwischen ist in der Version 1.49.0 „nur“ noch der Tracker „Google Firebase Analytics“ vorhanden.
Das ist wenigstens eine kleine Verbesserung.
Wenn bestimmte Tracker nicht aktiviert sind, könnten sie doch einfach aus der App entfernt werden. Das wäre dann transparent für den Kunden.
Ich bin leider noch nicht dazu gekommen, da nochmal nachzuharken – zu viel zu tun. Zugang zu meinem DKB Konto habe ich somit nach wie vor nicht.
Somit könnte ich jetzt eigentlich noch eins draufsetzen: Ich habe von der DKB seitdem nichts mehr gehört. Auch wurde mir kein Kontostand und keine Kontobewegung übermittelt – wozu meines Wissens Banken in gewissen Zeitabständen verpflichtet sind, wenn man nicht selbst die Kontoauszüge abgeholt hat (was ich ja seit einem Jahr nicht mehr kann).
Das könnte allerdings einige andere unerwünschte Aktionen auslösen – etwa, dass man mir dann alle 2-3 Monate kostenplfichtig Auszüge zuschickt, weil ich sie nicht selbst abrufe, was ich ja nicht kann. Tja, längerer Hebel und so…
Der Berliner Landesdatenschützer hat diesbezüglich übrigens der DKB empfohlen, doch stattdessen auf UnifiedPush zu setzen: Das sei quelloffen und daher auch einfach auf Datenschutz zu prüfen 
