News vom 15.01.2020

Außer Kontrolle: Apps geben sensible Daten an Unternehmen weiter

Ein Artikel von , veröffentlicht am 15.01.2020

Eine norwegische Studie zeigt: Populäre Apps geben intime Informationen an Dritte weiter. Unternehmen erfahren zum Beispiel die sexuelle Orientierung von Nutzer*innen oder welche Drogen sie nehmen. Damit verstoßen die App-Anbieter*innen gegen die DSGVO.

Wie das Nachrichtenportal netzpolitik.org berichtet, hat der norwegische Verbraucherrat Forbrukkerradet zehn weit verbreitete Apps analysiert. Im Mittelpunkt stand die Frage, welche Daten von Nutzer*innen sie an welche Unternehmen weiterleiten.

Die Studie trägt den Titel "Out of Control" ("Außer Kontrolle"): Häufig werden ohne Rücksprache mit den Nutzer*innen Datenpakete an Drittanbieter gegeben, die intime Informationen mit der Werbe-ID verknüpfen. Das ist eine individuelle Kennnummer, die jedes Smartphone für seine*n Nutzer*in generiert. Eigentlich sollten Nutzer*innen dadurch anonym bleiben.

Die Daten können so eindeutig bestimmten Nutzer*innen zugeordnet und mit den bisher über sie gesammelten Daten verbunden werden. Das dient der Erstellung möglichst genauer Profile, mit deren Hilfe Werbung möglichst passgenau geschaltet wird. Laut Datenschutzgrundverordnung (DSGVO) ist diese Praxis strafbar.

Diese Apps wurden untersucht

Die Verbraucherschützer*innen haben hierbei bewusst Apps in den Blick genommen, bei deren Nutzung sensible Daten abgefragt werden oder deren Nutzung allein schon als sensible Information gelten kann. Neben den Dating-Apps Tinder, Grindr und OkCupid untersuchten sie auch die Menstruations-Apps MyDays und Clue sowie die Make-Up-App Perfect365.

Hier ein Auszug der Ergebnisse zu einzelnen Apps:

Tinder: Sendet unter anderem ein Paket aus GPS-Daten, dem gesuchten Geschlecht und der den*die Nutzer*in eindeutig identifizierenden Werbe-ID an die Werbefirma Appsflyer. Diese kann so ein recht detailliertes Profil über Ihre Person erstellen.

Auch Facebook erhält die Werbe-ID und kann das Wissen um die Nutzung einer Dating-App so beispielsweise mit Ihrem Facebook-Profil verknüpfen, um Ihnen dort entsprechende Werbung auszuspielen.

Grindr: Sendet unter anderem ein Paket aus GPS-Daten, dem Beziehungstyp, der IP-Adresse und der den*die Nutzer*in eindeutig identifizierenden Werbe-ID an die Werbefirmen AppNexus und BuckSense, die so ein detailliertes Profil über Ihre Person erstellen können. Die Werbe-ID wird auch an viele weitere Drittanbieter versendet.

OkCupid: Sendet unter anderem ein Paket aus GPS-Daten und Angaben zu sexueller Orientierung, persönlichen Vorlieben und Drogenkonsum an das Online-Marketing-Unternehmen Braze. Die Werbe-ID wird unter anderem mit Facebook und Appsflyer geteilt.

MyDays: Sendet unter anderem ein Paket aus GPS-Daten, einer Liste installierter Apps und der den*die Nutzer*in eindeutig identifizierenden Werbe-ID an das Analyseunternehmen Placed. Auch viele weitere Unternehmen erhalten die Werbe-ID.

Clue: Sendet unter anderem ein Datenpaket aus Geburtsjahr und Werbe-ID an das Analyseunternehmen Amplitude. Auch weitere Unternehmen erhalten entweder das Geburtsjahr oder die Werbe-ID, unter anderem Facebook.

Perfect365: Sendet ein Paket aus GPS-Daten und Werbe-ID an die Analyseunternehmen Fysical und Safegraph sowie die Werbefirma Vungle. GPS-Daten und Werbe-ID werden auch an viele weitere Unternehmen weitergegeben, in einem Fall sogar unverschlüsselt.

Ergebnisse zu den weiteren untersuchten Apps "Happn", "Muslim: Gebetszeiten, Qibla, Quran, Dhikr-Zähler", "My Talking Tom 2" sowie "Wave Keyboard" finden Sie in einem englischsprachigen PDF-Dokument auf der Website des norwegischen Verbraucherrates.

Das können Sie tun

Bis beim Schutz von Nutzer*innendaten nachgebessert wurde, empfehlen wir, auf die Nutzung dieser Apps möglichst zu verzichten. Wie die Studie aber richtig feststellt, handelt es sich beim Handel mit sensiblen Nutzer*innendaten um ein weit verbreitetes Geschäftsmodell, das nicht nur die untersuchten Apps betrifft.

Wer sichergehen möchte, dass seine Apps frei von Tracking und Werbung sind, kann den alternativen App-Store F-Droid für Android nutzen. Alle dort verfügbaren Apps respektieren die Privatsphäre ihrer Nutzer*innen.

Alles Wissenswerte zum alternativen App-Store F-Droid finden Sie in unserem Artikel F-Droid: Verbraucherfreundlicher App-Store für Android.

NGOs planen Klage

Um der kommerziellen Überwachung durch Akteure des Online-Marketing einen Riegel vorzuschieben, haben sich laut der österreichischen IT-Nachrichtenseite futurezone.at der norwegische Verbraucherrat und international 20 weitere Organisationen zusammengeschlossen.

Mit Beschwerden bei den jeweils zuständigen Datenschutzbehörden möchten sie die Politik dazu bewegen, mehr für die Einhaltung der bereits seit Mai 2018 gültigen DSGVO zu tun.

Der Autor

E-Mail

t.baulig@mobilsicher.de

PGP-Key

BE4B0538AA06645A

Fingerprint

3577 45E7 ECC4 7372 DFF8 0A80 BE4B 0538 AA06 645A

Thorsten Baulig

ist Social-Media-Manager und Autor bei mobilsicher.de. Außerdem kümmert er sich um die Presse- und Öffentlichkeitsarbeit. Davor studierte er Kulturwissenschaft in Siegen und Berlin und organisierte kulturelle und stadtpolitische Veranstaltungen.

Weitere Artikel

YouTube-Video 

AppChecker: Unsere neue Datenbank kurz erklärt

Was eine Android-App alles bietet, sagt die Beschreibung im Google Play-Store. Doch wie sieht's beim Datenschutz aus? Das verrät unsere neue Datenbank App-Check für 30.000 Apps. Im Video zeigen wir, wie Sie sie nutzen können.

Ansehen
Ratgeber 

Datenschutz bei Safari (iOS)

Browser und Webseiten setzen Cookies und Tracker ein, um das Surfen zu erleichtern. Diese Kleinstprogramme sammeln aber auch emsig Nutzerdaten und geben diese ebenso emsig weiter. Wir erklären, mit welchen Einstellungen man ihnen etwas Einhalt gebieten kann.

Mehr
YouTube-Video 

3 Argumente gegen den Bezahldienst Google Pay

Mit Google Pay können Sie an der Kasse und in Apps bezahlen. Dabei holt der Dienst sich Daten und Verwertungsrechte, mit denen der Google-Konzern eine globalen Kreditauskunft werden könnte. Was er laut Datenschutzerklärung alles darf, erfahren Sie im Video.

Ansehen
Ratgeber 

Cloud-Dienst SpiderOak One kurz vorgestellt

Der Cloud-Dienst SpiderOak One wurde zwar 2014 von Whistleblower Edward Snowden gelobt, ist momentan aber nur eingeschränkt zu empfehlen. Der US-amerikanische Anbieter verschlüsselt die Inhalte nur am Computer wirklich sicher.

Mehr