Auf Android-Geräten kann sich jede App eine Überblicksliste mit allen anderen Apps auf dem Gerät beschaffen. Möglich ist dies durch eine technische App-Abfrage im Hintergrund, von der Nutzer nichts erfahren. Auf iOS-Geräten können Anwendungen durch gezielte Anfragen herausfinden, ob eine bestimmte App installiert ist.
Welche Daten mobile Anwendungen abfragen dürfen, ist oft berechtigungspflichtig. Das heißt: Apps müssen Nutzern mitteilen, dass sie bestimmte Daten erfassen wollen. In vielen Fällen müssen sie sogar eine explizite Zustimmung einholen, etwa wenn es um Telefonbuch- oder Kalender-Daten geht.
Auf die Information über installierte Apps haben Anwendungen jedoch einfach so Zugriff.
App-Abfragen verraten viel
Wir halten das für problematisch. Solche Abfragen ermöglichen es, ohne Wissen der Betroffenen umfassende Profile zu bilden. Wissen Anbieter, welche Apps installiert sind, können sie Rückschlüsse auf sensible persönliche Informationen ziehen.
Aus der Existenz einer Gebets-App auf einem Handy lässt sich beispielsweise auf die Religion einer Person schließen, aus einer lesbischen oder schwulen Dating-App auf die sexuelle Orientierung und aus einer App einer bestimmten Partei auf die politische Ausrichtung. Diese und andere Informationen gelten mit gutem Grund in der Bundesrepublik als rechtlich besonders schutzwürdig.
In Ländern mit prekärer Menschenrechtslage kann es dramatische Konsequenzen nach sich ziehen, wenn sich solche privaten Informationen einfach auslesen lassen.
Google: „nahtlose“ Nutzererfahrung
Auf die Frage von mobilsicher.de, wieso Android das Auslesen von App-Listen so wenig reguliert, antwortet Lena Heuermann, Pressesprecherin von Google Deutschland, dies solle eine optimale, „nahtlose“ Nutzererfahrung ermöglichen. Wenn Nutzer beim Surfen im Internet eine Webseite mit anderen teilen möchten, mache es beispielsweise Sinn, dass eine Browser-App herausfinden kann, ob auf einem Gerät der Messenger Whatsapp installiert ist.
Behörden und IT-Konzerne in der Pflicht
Wir haben auch zivilgesellschaftliche Organisationen um eine Stellungnahme gebeten. Volker Tripp, politischer Geschäftsführer beim Verein Digitale Gesellschaft, hält die Abfrage von App-Informationen für problematisch – und für potenziell rechtswidrig. Die Datenschutz-Grundverordnung der EU schreibe eine möglichst datenschutzfreundliche Gestaltung von Technik vor. Die IT-Konzerne müssten sich daran orientieren und es liege an den Datenschutzbehörden, die Regeln effektiv durchzusetzen.
Auch Lena Rohrbach, Referentin für Digitales und Menschenrechte bei Amnesty International Deutschland, sieht die Firmen in der Pflicht. Diese müssten „Menschenrechtsrisiken – etwa durch abgerufene und preisgegebene Informationen - analysieren und menschenrechtliche Gegenmaßnahmen ergreifen.“