Android-Apps: Der Spion im Schlafzimmer
16. Januar 2020Grindr, Tinder oder Happn: Populäre Dating-Apps versprechen die große Liebe oder kurzen Spaß. Weltweit werden sie millionenfach kostenlos heruntergeladen. Der Preis der Nutzer ist hoch. Sie zahlen mit intimen Daten, die schamlos an Werbenetzwerke oder Internet-Riesen weiterverkauft werden. Europäische Verbraucherschützer sind alarmiert. Eine Studie aus Norwegen hat zehn Android-Apps unterschiedlicher Kategorien untersucht, in denen sensible personenbezogene Daten verarbeitet werden, etwa über Gesundheit, Religion, Anzahl der Kinder und sexuelle Vorlieben. Das Ergebnis: Alle untersuchten Apps gaben personenbezogene Daten an Werbenetzwerke weiter.
Grindr, die weltweit beliebteste Dating-App für homosexuelle Männer, übermittelte beispielsweise Benutzer-Tracking-Codes zusammen mit dem Namen der App an mehr als zehn Unternehmen. Aus der Studie der Verbraucherschutz-Organisation "Forbruker Radet", einer staatlich finanzierten Non-Profit-Organisation in Oslo, geht hervor, dass deren Standortdaten dann an weitere Unternehmen gingen, die diese Information wiederum teilen konnten.
Cyber-Sicherheit auf dem Prüfstand
"Jeder Verbraucher hat eine durchschnittliche Anzahl von 40 bis 80 Apps auf seinem Telefon und teilt seine Daten mit Hunderten oder vielleicht Tausenden von Online-Akteuren", sagte Finn Myrstad, Direktor für digitale Politik beim norwegischen Verbraucherrat. Er stellte seine Daten zur Verfügung und überwachte die Studie. Unterstützt wurde das Forscherteam durch Mnemonic, eine Cyber-Sicherheitsfirma in Oslo. Gemeinsam untersuchten sie, wie sogenannte Ad-Tech-Software Benutzerdaten aus den Android-Apps extrahierte.
"Diese Praktiken sind außer Kontrolle geraten und verstoßen gegen die EU-Datenschutz-Grundverordnung", fasst Myrstad die Ergebnisse zusammen. Die EU hat mit der sogenannten DSGVO ein Datenschutzgesetz verabschiedet, das es Unternehmen verbietet, personenbezogene Daten über Religion, ethnische Zugehörigkeit, sexuelle Orientierung, Sexualleben und andere sensible Themen ohne die ausdrückliche Zustimmung einer Person zu sammeln und an Dritte weiterzugeben.
"Es ist unglaublich, was an Daten gesendet wird", sagt Simone Vintz, Datenschutzbeauftrage der Stiftung Warentest. "Natürlich wird damit Geld verdient. Dahinter steckt eine ganze Industrie." Die Betreiber der Ad-Tech-Software seien sogenannte Auftragsdatenverarbeiter und fallen somit juristisch nicht unter den Begriff "Dritte". Ein juristischer Fallstrick. Für den Endkunden sei das irrelevant. Seine Daten werden als Ware weiter gehandelt und zu künstlichen Profilen neu zusammengesetzt.
Wenn Algorithmen das Denken bestimmen
Der Bericht der norwegischen Verbraucherschützer ergänzt eine wachsende Zahl von Forschungsergebnissen, die ein riesiges Netzwerk von Unternehmen entlarven. Unauffällig werden mehrere Millionen Menschen verfolgt. Um Entwicklern zu helfen, Anzeigen in ihren Apps zu platzieren, gehen Ad-Tech-Unternehmen mit persönlichen Informationen von Nutzern bei Werbetreibenden, personalisierten Marketingdiensten, Standortdatenbrokern und Anzeigenplattformen hausieren. Diese sprechen ihre Nutzer dann in ihren Apps mit Werbeanzeigen gezielt an. Letztendlich versuchen sie so, deren Verhalten in ihrem Sinne zu beeinflussen. Dafür müssen sie nicht mal den Namen des Users kennen.
Die schädlichen Auswirkungen kommerzieller Überwachung, Profilerstellung und Beeinflussung gehen über Datenschutzbedenken hinaus. In einem Bericht aus dem Jahr 2019 beschreibt die Menschenrechtsorganisation Amnesty International die Überwachung durch Tech-Giganten wie Google und Facebook als systemische Bedrohung der Menschenrechte. Laut Amnesty stellen so gesteuerte Beeinflussungen von Nutzern eine ernste Bedrohung für die freie Meinungsbildung und -äußerung, Gedankenfreiheit und Recht auf Gleichheit und Nichtdiskriminierung dar.
Die norwegische Organisation Forbruker Radet kündigte an, Beschwerden bei den Aufsichtsbehörden in Oslo einzureichen, damit gegen Grindr und fünf Ad-Tech-Unternehmen wegen möglicher Verstöße gegen das europäische Datenschutzrecht ermittelt wird. Auch im US-Bundesstaat Kalifornien ist Anfang des Jahres ein umfassendes neues Verbraucherschutzgesetz in Kraft getreten. Unter anderem schreibt das Gesetz vor, dass Unternehmen, die die persönlichen Daten der Verbraucher zu Geld machen, die Verbreitung ihrer Informationen stoppen müssen.
Und was kann man als Verbraucher tun? Die Nutzenden haben kaum eine Möglichkeit, den Datenfluss zu konfigurieren. Auch Cookie-Blocker und Virenscanner sammeln Daten. "Es ist nicht so einfach dem zu entgehen", sagt Vintz. "Ich kann Daten reduzieren und überlegen, welche Daten ich im Netz überhaupt angebe. Bei der Suchmaschine benutze ich Alternativen zu Google, z.B. Startpage, um Daten zu reduzieren." Wichtig sei, dass man sich als Kunde dessen bewusst sei. Auch die Annahme, kostenpflichtige Apps gingen mit sensiblen Daten besser um, stimme so nicht. "Wir haben beobachtet, dass kostenpflichtige Apps ihre gewonnenen Daten genauso weitergeben wie kostenlose. Für Endkunden gibt es da keine Regel." Im Zweifel, so Vintz, helfe da nur eines: "Hände weg von dieser App."