Viele Nutzer schwören auf VPN-Dienstleister, um bspw. ihre Privatsphäre im Internet zu schützen oder Geo-Sperren zu umgehen. Ich warne schon lange vor VPN-Diensten, die einem »100%ige Anonymität« versprechen bzw. ihre Nutzer nur unzureichend darüber aufklären, wo die Grenzen der versprochenen Anonymität liegen.

Stichprobenartig habe ich mir mal die NordVPN-App (Version 3.9.8) für Android angeschaut. Diese beinhaltet nicht nur einige Tracker, sondern übersendet eure E-Mail-Adresse, zusammen mit eindeutigen Identifikationsmerkmalen wie die Google Advertising-ID, bei der Registrierung sogar noch an einen Drittanbieter (Iterable Inc.):

POST /api/users/registerDeviceToken HTTP/1.1 Accept: application/json Content-Type: application/json api_key: faaca8955069414a90944ff6ef352470 User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F) Host: api.iterable.com Connection: close Accept-Encoding: gzip, deflate Content-Length: 660 {"email":"email@email.de","device":{"token":"fYM5oW_zSHM:APA91bGuIk1ZopXpWmIRE2CAIKyifD4my_7jdoP4H0_vNN8bHKwkYHKa14MaE7zkO5L815_MkXm9bpulOp9eEgy_i0uKpgFljI6dVtD4pOnIieBkRZqvAw_SZ_V-UQb0g_Jas_YIn79e","platform":"GCM","applicationName":"com.nordvpn.android","dataFields":{"tokenRegistrationType":"FCM","firebaseCompatible":true,"brand":"Xiaomi","manufacturer":"Xiaomi","advertisingId":"c8639f11-626a-4292-9574-6a0e632e1ea3","systemName":"mido","systemVersion":"7.1.2","model":"Redmi Note 4","sdkVersion":25,"deviceId":"c8fec045-1bd4-4b71-8b2e-ed16c7bbf06f","appPackageName":"com.nordvpn.android","appVersion":"3.9.8","appBuild":"380","iterableSdkVersion":"3.0.5"}}}

Des Weiteren beinhaltet die App noch fünf weitere Tracker:

AppsFlyer

Google Analytics

Google CrashLytics

Google Firebase Analytics

Tune

An AppsFlyer wird unter anderem übermittelt:

POST /api/v4/androidevent?buildnumber=4.8.17&app_id=com.nordvpn.android HTTP/1.1 Content-Length: 2324 Content-Type: application/json User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F) Host: t.appsflyer.com Connection: close Accept-Encoding: gzip, deflate {"device":"mido","firstLaunchDate":"2019-01-21_093308+0000","installDate":"2019-01-21_092523+0000","sdk":"25","carrier":"","batteryLevel":"100.0","date1":"2019-01-21_092523+0000","cksm_v1":"dde376f36e311848afc1b61497729f1cf6","af_preinstalled":"false","advertiserIdEnabled":"true","af_sdks":"1000000000","iaecounter":"0","appsflyerKey":"fxZ3KXVxgjJth7Y8GzGgvK","lang_code":"de","registeredUninstall":false,"installer_package":"com.android.vending","app_version_name":"3.9.8","lang":"Deutsch","timepassedsincelastlaunch":"-1","advertiserId":"c8639f11-626a-4292-9574-6a0e632e1ea3","isGaidWithGps":"true","deviceData":{"dim":{"x_px":"1080","y_px":"1920","size":"2","xdp":"397.565","d_dpi":"480","ydp":"399.737"},"btch":"usb","btl":"100.0","cpu_abi2":"","sensors":[{"sT":4,"sV":"BOSCH","sVE":[0.015487671,0.022598267,-0.013870239],"sVS":[-0.061203003,-0.059432983,0.04260254],"sN":"BMI160 Gyroscope -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[0.6355438,6.844879,7.2422333],"sVS":[0.1184082,6.7634735,7.1632233],"sN":"BMI160 Accelerometer -Wakeup Secondary"},{"sT":4,"sV":"BOSCH","sVE":[0.015487671,0.022598267,-0.013870239],"sVS":[-0.061203003,-0.059432983,0.04260254],"sN":"BMI160 Gyroscope"},{"sT":2,"sV":"Yamaha","sVE":[46.717834,-18.313599,-34.529114],"sVS":[46.717834,-20.56427,-33.029175],"sN":"YAS537 Magnetometer"},{"sT":2,"sV":"Yamaha","sVE":[46.717834,-18.313599,-34.529114],"sVS":[46.717834,-20.56427,-33.029175],"sN":"YAS537 Magnetometer -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[0.6355438,6.844879,7.2422333],"sVS":[0.1184082,6.7634735,7.1632233],"sN":"BMI160 Accelerometer"}],"arch":"","build_display_id":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","cpu_abi":"arm64-v8a"},"af_v2":"59b30684bae2627da7a03d22915db0227d41affe","deviceType":"user","af_v":"351ace7ef0027d780bb6614ca88a093362ffb584","app_version_code":"380","af_events_api":"1","deviceRm":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","network":"WIFI","platformextension":"android_native","operator":"Unitymedia","rfr":{"install":"1548062710","val":"utm_source=google-play&utm_medium=organic","clk":"0","code":"0"},"country":"DE","date2":"2019-01-21_092523+0000","brand":"Xiaomi","af_timestamp":"1548063187650","uid":"1548063187688-1573157909640937616","isFirstCall":"true","counter":"1","model":"Redmi Note 4","product":"lineage_mido"}

Also Informationen wie:

Gerät bzw. Hersteller

Batterieladezustand

Google Advertising-ID

Gyro-Sensor-Daten

Bildschirmgröße

LineageOS Build-Version

Konnektivität (WLAN)

Mobilfunkanbieter (UnityMedia)

[…]

In der Datenschutzerklärung zur App finde ich keinen Hinweis, welche Daten, wann mit welchem Drittanbieter geteilt werden.

Persönlich würde ich die App sofort vom Smartphone entfernen und den Anbieter um eine Datenlöschung nach der DSGVO bitten – auch bei den Drittanbietern. Das Ergebnis wirft insgesamt kein gutes Bild auf die NordVPN-App bzw. den Anbieter selbst.

Update: In einem Ticket antwortet der Support von NordVPN wie folgt:

Hello there! We use these tools to monitor aggregated data to improve UI/UX and determine the efficiency of our marketing campaigns. They are not related to the user’s activity when using our VPN service. In case you have further questions, do not hesitate to drop us a DM!

Die Antwort ist leider nicht zufriedenstellend, da der Nutzer nicht darüber informiert wird, dass im Zuge der Registrierung, seine E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt wird. Und Marketinggründe als Zweck anzugeben, weshalb die E-Mail-Adresse übermittelt wird, halte ich im sensiblen VPN-Umfeld für äußerst fragwürdig.

Hinweis Tipp: Nach Möglichkeit baut ihr euch eure eigene VPN-Gegenstelle mit : Nach Möglichkeit baut ihr euch eure eigene VPN-Gegenstelle mit PiVPN und verbindet euch dann mit der OpenVPN-App

Android: NordVPN übermittelt E-Mail-Adresse an Tracking-Anbieter