Datengierige Apps - gläserne Nutz­er­Inn­en

Smartphones und Tablet-Computer sind eng mit ihren Besitzern verbunden und fast wie ein offenes Buch. Eine Studie des Instituts für Technikfolgen-Ab­schätz­ung der Österreichischen Akademie der Wissenschaften im Auftrag der AK zeigt: Durch Geodaten wie GPS-Koordinaten oder WLAN-Zugangspunkte können der Geräte-Standort und damit die Wege des Nutzers von Daten­sam­mlern verfolgt (getracked) werden. Besonders von Apps geht zunehmend eine Sammelwut aus. Apps fungieren häufig als „Fassaden“ und verschleiern den eigentlichen Zweck: nämlich das Datensammeln. Mit den App-Anbietern sind oft auch Werbefirmen verbunden, die so zu vielen Daten kommen.

Reger Datenhandel - fehlender Datenschutz

Die Daten sind wahre Goldgruben. Es gibt einen regen Datenhandel. Die App-Anbieter verkaufen sie um gutes Geld an Werbefirmen. Die nutzen sie rege. Und der Konsument: Der weiß meist gar nicht, wie ihm geschieht – die Daten­über­trag­ung ist intransparent. Der Konsument wird gläsern. Daten­schutz­regeln und Privatsphäre werden oft missachtet – App-Entwickler und Ge­räte­her­steller putzen sich oft ab.

Wo bist du? Frag das Telefon!

Die AK hat beim Institut für Technikfolgen-Abschätzung der Österreichischen Akademie für Wissenschaften eine Studie in Auftrag gegeben: „Aktuelle Fragen der Geodaten-Nutzung auf mobilen Geräten“. Sie warnt vor den Über­wach­ungs­risiken durch datenhungrige Apps. Denn mit Hilfe von Geodaten wie GPS-Koordinaten oder WLAN-Zugangspunkten können der Standort und damit die Wege des Nutzers von verschiedenen Datensammlern verfolgt werden.

Geodaten kommen KonsumentInnen auf die „Schliche“

Um die Position zu ermitteln, werden Datenbanken (etwa von Anbietern wie Skyhook oder Navizon) herangezogen. Der Sensor des Smartphones stellt fest, welche UMTS-Mobilfunkzellen und WLAN-Punkte in seiner Umgebung sind, über­mittelt diese Info an den Datenbankbetreiber und bekommt die Stand­ort­daten: nämlich Längen- und Breitengrad, Postleitzahl (Bezirk bzw. Ortsteil, Stadt, Bundesland, Staat), Straße und Hausnummer. Auch genaue Zeitangaben und Bewegungsprofile (Tracking; Geschwindigkeitsmessung) sind durch wieder­holt­es Messen möglich. So zum Beispiel für Notfalls- oder Geofencing-Apps, bei denen ein Alarm ausgelöst wird, zum Beispiel bei Autounfällen oder sobald Personen oder Gegenstände einen abgesteckten Umkreis verlassen.

Zwischen Nutzen und Verlust der persönlichen Freiheit

Die sogenannten Geodaten werden etwa für Navifunktionen gebraucht oder Social Networks verknüpfen Geodaten mit weiteren Angaben – etwa Flickr ver­knüpft Fotos mit Geodaten oder für den Notfall helfen Geodaten den Ein­satz­kräft­en, schnell an eine bestimmte Adresse zu kommen, und, und, ... Neben den Smartphone-Herstellern und Telekom-Anbietern werden Geodaten auch von App-Produzenten selbst gespeichert und/oder an Dritte übermittelt. All diese Services zeigen den Spagat zwischen Nutzen und dem Verlust per­sön­lich­er Freiheit.

Apps als Datensammler

Apps sind sehr oft als Datensammler tätig. Abgesehen von den Standortdaten haben Apps häufig Zugriff auf die Gerätekennung, E-Mail- und Tele­fon­kon­takte, SIM-Kartennummer, die sie mitunter ohne nähere Information der Nutz­er­Inn­en an Anbieter von Analysediensten übermitteln. Ausspionierbar sind grund­sätz­lich alle „Datenschätze“ des Smartphones: gespeicherte Adress­dat­en, Erinnerungsfotos und die gesamte Kommunikation über das Telefon.

Apps als Datenverkäufer

Die datenhungrigen Apps geben Daten zum Beispiel an unzählige Werbe­netz­werke weiter, oft ohne die UserInnen darüber zu informieren. Die „smarten“ Ge­räte lassen sich ziemlich exakt einer Person zuordnen und sind für Werbe­treib­ende ideal, Verhaltensprofile anzulegen. Vor allem Gratis-Apps fungieren oft als „Fassaden“, die den eigentlichen Zweck – das Datensammeln – ver­schleiern sollen. So zum Beispiel „Paper Toss“, ein simples Spiel, das Geodaten nicht benötigt, überträgt den Standort gemeinsam mit der Telefon-ID an fünf inter­nationale Werbenetzwerke.

Schwierig: Datenschutzrechte durchsetzen

Viele Menschen sind sich nicht bewusst, dass Daten übertragen werden und welche Folgen das hat. Sie brauchen mehr Schutz, fordert die AK. Die inter­national tätigen Gerätehersteller und App-(Shop)-Anbieter müssen mehr Ver­ant­wort­ung für einen zeitgemäßen Datenschutz übernehmen. Es ist auch ex­trem schwierig, Datenschutzrechte durchzusetzen. Denn die Anbieter sitzen oft irgendwo in Übersee.

Gläserne KonsumentInnen

Werbenetzwerke bieten App-Herstellern Software-Zusätze an, die Werbung auto­matisch in Apps integrieren. Diese Module verfolgen neben den Stand­ort­daten etwa auch die Zeitspanne, die KundInnen mit einer App verbringen.
Tat­säch­lich handelt es sich um eine subtile Form der Überwachung für mehr oder weniger nützliche Service- und Werbezwecke. Wegen des verspielten Charakters von Apps empfinden Konsumenten die Datensammlung nicht als Kontrolle und sind bereit, Vieles über sich preiszugeben.

Eine wachsende Branche beschäftigt sich damit, Profile von Handy-Nutz­er­Inn­en mit anderen Datensätzen zu verknüpfen. Den Sammlern geht es vor allem um das Aufbereiten, Zusammenführen, Analysieren und Weiterverkaufen zu­sätz­lich­er Daten für Marketingzwecke. Die Verwendungszwecke der ge­sam­melt­en Daten sind nur mehr schwer eingrenzbar – ein reger Datenhandel mit Drittanbietern ist inzwischen gängige Praxis.

Wer mit wem

Eines der größten Werbenetzwerke ist das von Google 2010 aufgekaufte AdMob, das man neben den beiden großen Plattformen iOS und Android auch auf webOS und Windows Phone 7 findet. AdMob sammelt auch besonders viele Datenkategorien. So erklärt AdMob in seinen Datenschutzbestimmungen, dass auch Geodaten, Telefon-IDs und, wenn vom Netzbetreiber übermittelt, die Telefonnummern erfasst werden. NutzerInnen müssen also damit rech­nen, dass Apps, die AdMob verwenden, konkrete personenbezogene Daten übermitteln.

Die Firma Mobclix verbindet wiederum Werbetreibende mit App-Produzenten. Es wird die ID von Telefonen erhoben und nach Kriterien wie zum Beispiel wel­che Apps Personen herunterladen, wie viel Zeit sie mit einer App verbringen, etc. den verschiedenen Interessengruppen zugeordnet.

Apps auf Smartphones haben unterschiedliche Möglichkeiten, Geodaten zu ver­arbeiten. Apps können auf die von WLAN-, UMTS- und GPS-Empfängern pro­duzierten Daten entweder nur dann zugreifen, wenn das Programm läuft und die Datenabfrage zur Erbringung des gewünschten Services nötig ist, oder immer wenn sie vom User gestartet werden, oder permanent, indem ein Modul der App im Hintergrund läuft und die Daten erfasst.

Houston – haben wir ein Problem?

Die Shop-Betreiber – Apple, Google & Co – sehen das Datenschutzproblem rund um ihr App-Angebot eher gelassen. So prüft Google die Apps in der Regel nicht und meint, die App-Produzenten tragen selbst die Verantwortung für den Umgang mit Nutzerinformationen. Wenn ein Konsument sich beschwert, wer­den einzelne Apps geprüft und gegebenenfalls aus dem Sortiment raus­ge­nom­men.

Apple hat einen restriktiveren Umgang mit Apps. Auch wenn Apple angibt, eine Prüfung der von Entwicklern hochgeladenen Programme vorzunehmen, findet diese aufgrund der großen Anzahl nicht gründlich genug statt.

Untersuchungen über Apps zeigen: Mehr als die Hälfte der getesteten Apps übertrugen etwa die Telefon-ID. Als zweithäufigste Datenkategorie werden die verschiedenen Formen von Standortdaten übertragen (GPS-Daten, aber zum Beispiel auch die Postleitzahl). Vor allem kostenlose Apps sind rege Daten­über­mittler – sie kontaktieren einen oder mehrere Server von Werbenetzwerken. Bei vielen Apps ist auf den ersten Blick nicht klar, wozu sie diese Daten brau­chen.

Gefordert: Bessere Infos & mehr Transparenz

Es kann nicht sein, dass sich jeder Konsument technisch und rechtlich befasst, wie Apps funktionieren, welche Daten sie verarbeiten und übermitteln. Die Nutz­er haben zu wenig Fachkenntnis und Transparenz darüber, wie ihre Daten weiterverwendet werden, wo sie gespeichert werden, wer darauf Zugriff hat, und wie damit Geld gemacht wird. Konkret fordert die AK:

1. Handy- und App-Anbieter müssen mehr Konsumentenschutz gewährleisten

• Endgeräte, die die Privatsphäre schützen
  Es fehlen privatsphären-freundliche Endgeräte am Smartphone-Markt. Die Überwachungsmöglichkeiten müssen bereits am Handy unterbunden wer­den können. Zarte Anfänge gibt es, etwa aSpotCat, die installierte Apps nach den erteilten Rechten sortiert und so Überblick und Kontrolle fördert.
  
  
• Gütesiegel für Apps
  „Konsumentenfreundliche“ App-Programmierer sollten sich dem Euro­päisch­en Datenschutzgütesiegel unterwerfen und das als Qualitätsmerkmal be­werb­en (EuroPriSe – European Privacy Seal).
  
  
• Bessere Informationen
  Die App-Anbieter und Datensammler müssen wesentlich besser über den Zweck der Datenverarbeitung informieren, über Dauer, Umfang und Typ der verwendeten Daten. Sie müssen auch die Betroffenen aufklären, wie sie ihre Rechte auf Auskunft, Richtigstellung und Löschung ihrer Daten geltend machen können.

2. Klare Gesetze auf EU-Ebene

• EU-weit einheitliche Regeln für datenhungrige Apps
  Es gibt Datenschutzregeln, aber sie müssen erweitert werden. Aufgrund des mangelhaften Daten- und Verbraucherschutzes bei Geodaten-Diensten, Apps, … braucht es EU-weite einheitliche Standards zum Schutz für Ver­brauch­er­Inn­en vor datengierigen Handy-Apps, zum Beispiel verlässliche Methoden, den Zugriff zu unterbinden. Smartphones können Apps – währ­end ihrer Installation – meist nur pauschal den Datenzugriff verbieten. Die Nutz­er­Inn­en sollen frei entscheiden können, ob und wann welche Daten zu­gäng­lich gemacht und an wen übermittelt werden. Generell fehlen Möglich­keiten, Datenspuren nachträglich zu beseitigen.
  
  
• Regeln für Anbieter
  Es sind rechtliche Vorgaben für Geräteanbieter aufgrund der völlig fehl­end­en Transparenz der Datenverarbeitungsprozesse nötig. Wer etwa technisch nicht so kundig ist, für den sollten verständliche Infos leicht zugänglich sein. Es sollte eine stets sichtbare Funktion am Handy angeboten werden, die da­rüber informiert, sobald Standortdaten verarbeitet werden.
  
  
• Neue Wege bei der Rechtsdurchsetzung:
  Angesichts millionenfacher Apps und einigen wenigen internationalen Ge­räte- und App-Shop-Anbietern ist eine enge Zusammenarbeit zwischen nationalen Datenschutzbehörden und der EU-Kommission nötig, um euro­päische Datenschutzstandards durchzusetzen.