••• Von Sabine Bretschneider
Wenn es etwas gibt, von dem Sie nicht wollen, dass es irgendjemand erfährt, sollten Sie es vielleicht ohnehin nicht tun.” (Eric Schmidt, ehemaliger CEO von Google, 2010)
Die norwegische Verbraucherschutzorganisation Norwegian Consumer Council (NCC) hat sich mit der Anwendungssoftware auf Mobiltelefonen, besser: Apps, auseinandergesetzt und in einer sorgfältigen Analyse deren Datensammelverhalten überprüft. Anhand von zehn beliebten Apps – darunter die Dating-App Tinder, die Bi-/Gay-Dating-App Grindr, die Make-up-App Perfect365 oder die Menstruations-App MyDays – wurde erhoben, welche Daten an welche Drittanbieter weitergegeben werden. Die Ergebnisse sind ernüchternd.
Schwul?
Grindr etwa, die weltweit beliebteste Dating-App für Schwule und bisexuelle Männer, verschickt laut dem Report Unmengen an Nutzerdaten, darunter GPS-Daten, IP-Adresse, Geschlecht und Alter, an eine breite Palette von Online-Marketingunternehmen, darunter etwa AdColony, AppNexus (Xandr), Bucksense, MoPub, OpenX, PubNative, and Smaato. Damit fließen de facto sensible Daten über die sexuelle Orientierung relativ ungefiltert an die Werbeindustrie.
Perfect365, sie nennt sich die „beste kostenlose virtuelle App für Make-up und Fotobearbeitung”, versendet nicht nur unverschlüsselte GPS-Daten, sondern kommuniziert, so NCC, mit insgesamt 72 Unternehmen. Auch die religiöse App Muslim – Qibla Finder teilt Informationen über die IP-Adresse mit, damit aber auch Informationen zum Religionsbekenntnis. Auch diese Materie gehört zu den sensiblen Inhalten, deren Weitergabe Unternehmen in Europa ohne explizite Einwilligung der Nutzerinnen und Nutzer durch die DSGVO an sich verboten ist.
Plötzlich öffentlich
Eine Zusammenfassung der Ergebnisse: Die Apps lieferten sensible Daten an 135 (!) unterschiedliche Unternehmen – unter anderem die IP-Adresse und GPS-Standorte, aus denen sich Bewegungsprofile erstellen lassen, aber auch Daten über die sexuelle Ausrichtung, politische Einstellung und Medikamente.
Empfänger dieser Daten sind internationale Player im Online-Marketing, darunter bekannte Technologie‑Riesen.
Googles Marketing-Firma DoubleClick bekommt von acht der zehn untersuchten Apps Daten übermittelt, Facebook sogar von neun, aber auch Firmen wie OpenX oder Brace werden beliefert. Diese Werbepartner teilen wiederum Daten mit anderen Werbepartnern … Das Norwegian Consumer Council, das die Studie durchführte, hat eine DSGVO-Beschwerde eingereicht.
Nutzer der Apps haben nicht allzu viele Möglichkeiten, sich vor Datentracking zu schützen. Wie das Online-Portal futurezone vor einiger Zeit berichtete, ignorieren zahlreiche Android-Apps die vom Nutzer erteilten bzw. nicht erteilten Berechtigungen und sammeln mehr Daten als erlaubt. Das belegt eine Studie des International Computer Science Institute der US-Universität Berkeley. 88.113 Apps aus dem US-Angebot des Google Play Store wurden im Rahmen der Untersuchung geprüft; davon griffen insgesamt 1.325 Apps auf Daten zu, für die sie keinerlei Berechtigung hatten.
Komplett außer Kontrolle
Besonders perfide ist die Datensammlung per vorinstallierten Apps. Das sind jene, die bereits vom Hersteller auf den Geräten fixiert sind – sogenannte Bloatware –, und vom Nutzer auch nicht entfernt werden können. Diese Apps fragen nicht um Erlaubnis, sondern arbeiten vielmehr mit vordefinierten, „speziellen” Zugriffsberechtigungen.
Für Interessierte: Die vollständige Studie „Technical Report: Out of Control – A Review of Data Sharing by popular mobile Apps” des Norwegian Consumer Council ist hier abrufbar: www.forbrukerradet.no/out-of-control.
Und wenn Sie beispielsweise wissen möchten, welche Informationen Google über Sie gesammelt und gespeichert hat, können Sie das mit dem Google Dashboard herausfinden: google.com/dashboard
