Ratgeber

App-Module: Wie Apps Sie verfolgen

Ein Artikel von , veröffentlicht am 30.05.2017, bearbeitet am16.05.2023
Bild: Pixabay CC0 / mwewering

In vielen Apps stecken Software-Bausteine von Analysediensten oder Werbefirmen. Für Entwickler*innen sind sie praktisch, für Nutzer*innen oft ein Ärgernis. Denn viele solcher Module sammeln fleißig Daten und schicken sie an Dritte.

Praktisch: Bausteine für App-Funktionen

Module sind fertige Software-Bausteine, die Entwickler*innen in eine App einbauen können. Im Jargon nennt man so einen Baustein SDK, kurz für "Software Development Kit". Ein SDK übernimmt in der Regel eine Standardfunktion, etwa Bilder anzeigen oder den Anwender ein Datum auswählen lassen.

Viele Entwickler*innen stellen ein SDK bereit, damit andere sie in ihre Apps integrieren können. Der Einsatz von solchen Funktionsmodulen ist ein sinnvolles Konzept: Das Rad muss nicht jedes Mal neu erfunden werden, sondern bestehendes Wissen kann als fertiger Baustein weitergegeben werden.

So können Fehler behoben und Funktionen ergänzt werden und jede*r Entwickler*in kann sich auf das konzentrieren, was er oder sie am besten kann.

Hilfreich bis kritisch: Bausteine für Analyse

Eine Kategorie dieser Bausteine sind sogenannte Analysemodule. Sie tragen nicht direkt zur Funktionalität der App bei, sind aber dennoch oft sinnvoll. Sie sollen Fehler in der App nachvollziehbar machen, damit Entwickler*innen die Ursache einfacher beheben können.

Allerdings ist die Grenze zwischen Analyse und Marketing fließend. Analysedienste kommen auch zum Einsatz, um zu messen, ob eine Werbekampagne erfolgreich war oder um herauszufinden, für welche Werbung sich jemand interessiert. Klassische Dienste zur Absturzanalyse erfassen zum Beispiel viele technische Daten. Dienste zur Nutzer*innen- und Marketing-Analyse erfassen auch inhaltliche Daten, zum Beispiel, worauf jemand geklickt hat.

Analyse-Module werden von Firmen bereitgestellt, die in der Regel auch die Analyse übernehmen. Die Entwickler*innen bekommen dann ein aufbereitetes Ergebnis zu sehen. Die Nutzer*innendaten selbst, die ein Analysemodul ausliest, landen hingegen bei der Analysefirma. Welche Analysedienste in einer App eingebunden sind, erfahren Sie in der Regel nicht.

Aus Datenschutzperspektive sind Analysemodule ein Graubereich. Es ist durchaus legitim und erlaubt, dass ein App-Anbieter ein Analyseunternehmen beauftragt. Dabei wird ein Vertrag geschlossen, rechtlich gesehen bleibt der Anbieter der "Besitzer" der gesammelten Daten. Er ist weiterhin für ihre Sicherheit und die rechtmäßige Verwendung verantwortlich. Einige Analysedienste - die meist kostenpflichtig sind - arbeiten so, zum Beispiel der deutsche Anbieter "Adjust".

Bei anderen Firmen ist die Sache weniger klar, zum Beispiel bei Facebooks kostenlosem Analysedienst, "Facebook Analytics". Hier muss man aufgrund von Faceooks Datenschutzbestimmungen davon ausgehen, dass Facebook die zur Analyse gesammelten Daten auch aus eigenen Interessen mit bestehenden Nutzerprofilen verknüpft.

Es kommt also auf die Auswahl des Dienstleisters an.

App-Tracking über Werbemodule

Die meisten Entwickler*innen möchten für ihre Arbeit an einer App bezahlt werden. Leider sind die wenigsten Anwender*innen bereit, Geld dafür auszugeben. An dieser Stelle kommen Werbemodule ins Spiel.

Viele Entwickler*innen finanzieren sich durch Werbung. Eine Auswertung von mobilsicher.de aus 2023 von 30.000 Apps aus dem Google Play Store ergab, dass nur knapp ein Viertel dieser Apps ohne Werbung angeboten werden. Es ist durchaus üblich, dass Werbemodule verschiedener Anbieter in einer App zu finden sind.

Werbemodule werden von sogenannten Werbenetzwerken bereitgestellt. Das sind Unternehmen, die sich darauf spezialisiert haben, mit Hilfe von Nutzer*innenprofilen Werbung zielgenau zu verteilen. Sie versuchen daher stets herauszufinden, ob sie zu einer bestimmten Person bereits ein Profil haben. Dafür fragen sie eine Kennnummer vom Gerät ab. Bei iOS ist das die Apple Ad-ID, bei Android die Google Werbe-ID.

Befindet sich ein Profil mit der entsprechenden Werbe-ID in der Datenbank, bekommen Nutzer*innen dazu passende Werbung angezeigt. Gleichzeitig haben Werbenetzwerke ein Interesse daran, ihre Profile weiter zu ergänzen. Deshalb versuchen sie, über die Nutzer*innen so viele weitere Informationen wie möglich zu sammeln: Zum Beispiel, welche App jemand gerade nutzt, welches Gerät, von welchem Standort aus und vieles mehr.

Auch hier gilt: Den Namen der eingebundenen Werbenetzwerke erfahren Sie in der Regel nicht.

Kostenlose Module und ihr Preis

Module, die nicht zur eigentlichen Funktionalität von Apps beitragen – also Analyse- und Werbemodule –, haben ihren Preis. Zunächst einmal benötigt jedes Modul Speicherplatz. Zweitens benötigen Analyse- und Werbemodule zusätzliches Datenvolumen: Statistiken und weitere Informationen müssen hoch-, Werbung heruntergeladen werden.

In manchen Apps gehen 90 Prozent des Datenverkehrs nur auf solche Module zurück. Zusätzlich werden Rechenkapazität, Arbeitsspeicher und Akku benötigt. Und: Einige dieser „Drittanbieter-Helfer“ scheinen ziemlich gierig nach Daten zu sein. Oft tun sie weit mehr, als von den Entwickler*innen beabsichtigt.

Dazu kommt, dass sie nicht selten als Einfallstor für Schadprogramme dienen. Zum einen auf Grund von Programmierfehlern, zum anderen, weil die Betreiber der Werbenetzwerke in der Regel nicht prüfen, ob die Anzeigen, die sie verteilen, vielleicht Schadprogramme enthalten.

In unserem Beitrag Werbe-Apps: Von nervig bis gefährlich erklären wir, warum Werbung ein Sicherheitsrisiko ist.

Große Firmen, massig Analyse

Praktisch jedes Werbemodul greift auf mindestens einen „Identifier“ zu, also auf eine Information, mit der ein*e Nutzer*in einem Profil zugeordnet werden kann. Meistens ist das die Werbe-ID (für Apple oder Google). Werbeanbieter, die sich an die Vorgaben durch die europäische Datenschutz-Grundverordnung (DSGVO) halten, fragen darüber hinaus keine weiteren Kennnummern ab.

Bei Android-Geräten wird ansonsten oft auch die Android-ID übertragen, seltener die IMEI, WiFi-MAC-Adresse, Seriennummer oder Telefonnummer. Nicht selten werden diese Daten völlig unverschlüsselt und im Klartext übertragen – ein gefundenes Fressen für alle, die unterwegs „mitschneiden“.

Wird das gleiche SDK in mehreren der installierten Apps verwendet, lassen sich aus den gesammelten Daten umfangreiche Anwender*innenprofile erstellen. Über die erfassten Identifier lassen sich die einzelnen Sammlungen leicht verknüpfen. Für Analysemodule gilt das ebenso.

Es gibt eine Menge Merkmale und Kennnummern, mit denen ein Smartphone eindeutig identifizierbar ist. Mehr dazu hier: Was sind Identifier?

Entwickler*innen wählen selbst

Was kaum jemandem klar ist: Alle Berechtigungen der eigentlichen App gelten auch für die Module einer App. Hat eine App zum Beispiel Zugriff auf das Adressbuch, so haben die eingebauten Module diesen Zugriff ebenfalls.

Da in den meisten Fällen der Quelltext der Module nicht offenliegt, können Entwickler*innen nicht prüfen, was ein Modul tatsächlich tut, sondern müssen sich auf die Angaben des Herstellers verlassen.

Allerdings gibt es oft eindeutige Hinweise: So fordern einige Module viele Berechtigungen. Damit ein*e Entwickler*in dieses Modul einbinden kann, muss die App so programmiert werden, dass sie die Berechtigungen erhält, die das Modul benötigt.

Programmierer*innen bekommen also durchaus mit, wenn potenziell viele Daten ausgelesen werden. Wer solche Module einbindet, nimmt die Privatsphäre von Nutzer*innen also nicht sehr ernst.

Was App-Berechtigungen sind und wie man sie einschränken kann, erklären wir hier: Alles rund um App-Berechtigungen (Android).

Weitere Artikel

Ratgeber 

Was Sie über Gmail wissen sollten

Gmail gehört zu den beliebtesten E-Mail-Diensten - nicht zuletzt, weil jede*r Android-Nutzer*in bei der Einrichtung des Google-Kontos automatisch eine Gmail-Adresse erhält. Was wir an Gmail problematisch finden, erfahren Sie hier.

Mehr
App-Test 

Telekom Mail im Test: Durchwachsen

Insgesamt erhalten neun verschiedene Unternehmen Daten aus der Mail-App der Telekom. Der Versuch, dabei die Privatsphäre der Nutzer zu respektieren, gelingt nicht immer. Löblich: Opt-out-Möglichkeiten und klare Datenschutzerklärung. Unser Fazit lautet dennoch: Es gibt bessere Mail-Apps.

Mehr
Ratgeber 

Verstörend: Doctolib-App teilte sensible Informationen mit Facebook und Outbrain

Haben Sie in letzter Zeit bei „Doctolib“ einen Arzttermin gesucht? Dann ist es gut möglich, dass die Firmen Facebook und Outbrain schon davon wissen. Und zwar selbst bei sensiblen Themen wie einer Inkontinenzberatung beim Urologen oder der Mädchensprechstunde beim Frauenarzt.

Mehr
Ratgeber 

Daten sichern mit Google One-Back-up

Einige Daten könnt ihr bei Android-Geräten einfach über das Google-Konto sichern. Besonders schön: Das Backup ist so verschlüsselt, dass auch Google die Daten nicht lesen kann.

Mehr