Datenschutz unterlaufen: Wie Apps uns legal ausspionieren

[English]Es ist eigentlich informierten Menschen bekannt: Apps auf Smartphones sind Datenschleudern – und Datenbroker sammeln diese App-Daten fleißig, um diese zu versilbern.


Anzeige

Apps und das Tracking

Nutzer haben heutzutage zahlreiche Apps auf ihren Android- und iOS-Geräten. Bei jeder dieser Apps stimmt der Benutzer beim ersten Aufruf zu, dass er mit der Erfassung und Verarbeitung von Daten, die diese App erhebt, einverstanden ist. Natürlich erfordern die meisten dieser Apps eine Benutzeranmeldung bei irgend einem Dienst.

Und den meisten etwas besser informierten Leuten ist auch klar, dass diese Daten der App irgendwo vom Anbieter des Produkts gesammelt werden. Wenn ich so hier im Blog die Kommentare ansehe, gehört vor allem Google zu den Datenkraken. Apple, das sind die Guten, die sich um Privatsphäre beim Surfen bemühen.

Mir sind da die letzten Tage zwei Informationssplitter unter die Augen gekommen. Im Beitrag Apple and Google’s tough new location privacy controls are working wird aufbereitet, dass die Erfassung der Standortdaten durch Apps in Android und iOS wohl funktioniere.

  • Seit der Einführung von iOS 13 im letzten Herbst ist die Menge der von den Vermarktern gesammelten Hintergrundstandortdaten laut Location Sciences, einer Firma, die Vermarktern bei der Analyse von Standortdaten hilft, um 68% gesunken.
  • Location Sciences hat außerdem festgestellt, dass die gemeinsame Nutzung von Vordergrunddaten, die nur während der Laufzeit einer App erfolgt, um 24% zurückgegangen ist.
  • Ein Google-Sprecher erklärt dem Unternehmen Fast, dass Android-Benutzer, die die Möglichkeit haben, Standortdaten nur dann freizugeben, wenn sie eine App aktiv nutzen, diese Option etwa die Hälfte der Zeit wählen.
  • Wie Digiday letzte Woche berichtete, gibt es laut Benoit Grouchko, CEO des Ad-Tech-Unternehmens Teemo, bei Apps inzwischen Opt-in-Raten von unter 50 Prozent für die Erfassung von Standortdaten, wenn sie nicht in Gebrauch sind.

Die Kontrolle der Übermittlung der Standortdaten war in  Android nicht immer so wirklich nützlich. Aber dem Artikel nach holt die neueste Android 10-Version aber, mit einer ähnlichen Einstellung “nur während der Benutzung” auf, wenn Apps Standortdaten anfordern. Wie iOS warnt auch Android 10 die Benutzer, wenn eine vorhandene App im Hintergrund Standortdaten sammelt, und bietet eine Verknüpfung, um die App davon abzuhalten. Die Botschaft: Werbetreibende müssen mit begrenzten Standortdaten vorlieb nehmen, da die Benutzer das massenhafte Tracking ablehnen.

Auch von Google wird berichtet, dass die Entwickler beim Chromium-Browser daran arbeiten, dass die Surfer mehr Privatsphäre bekommen sollen und schwerer zu identifizieren sind (siehe die Artikel hier, hier und hier). Also alles im grünen Bereich?

Zumindest der Artikel Popular Apps Share Intimate Details About You With Dozens of Companies von Consumer Report weckt Zweifel und zeigt, dass Apps wahre Datenkraken sind. Es erfassen intime Details über die Nutzer, und geben diese an dutzende von Firmen weiter. Zum 22. Januar 2020 gab es dann den Kommentar The Apps on My Phone Are Stalking Me in der New York Times zum Thema. Dort schreibt der Autor, dass er entdeckt habe, dass ‘wir’ [gemeint ist die USA] einen digitalen Überwachungsstaat aufbauen, der demjenigen in China sehr ähnlich sei.

Private Vorratsdatenspeicherung im großen Stil

Ich bin über nachfolgenden Tweet auf die Geschichte gestoßen, die das ZDF im sonntäglichen Heute-Journal gezeigt hat – und habe die obigen Informationen, die seit Wochen auf meinem Rechner dümpeln, mal mit zum Gesamtbild integriert. Die ZDF-Redaktion macht darauf aufmerksam, wie umfangreich diese Datensammelei durch Smartphone-Apps inzwischen geworden sei – und die Leute raffen es nicht.


Anzeige

Experten bezeichnen das Ganze als (private) ‘Vorratsdatenspeicherung im großen Stil’. Apps erfassen (Standortdaten) und andere Daten und diese reichen diese an Netzwerke weiter. So werden riesige Datenmengen gesammelt und landen dann bei Datenhändlern. Das Gesamtbild hat die New York Times gezeichnet, die aufdeckt, in welchem Umfang Apps und Datenhändler Daten über die Benutzer sammeln. Und das wohl weitgehend legal, denn die Nutzer stimmen dieser Datensammlung über die AGB der Apps zu.

Die New York Times ist an diesem Thema schon ein paar Tage dran. Jemand hatte der Redaktion einen Datensatz mit Daten anonymer Handy-Nutzer, u.a. mit deren Bewegungsdaten, zugespielt, um zu zeigen, was möglich ist. Der Redaktion hat das Ganze aufbereitet – man bezeichnet es als ‘die verfolgte Nation’ (bezieht sich auf USA). Ich hatte es im Dezember 2019 bereits mitbekommen, als ich auf den Artikel Your Apps Know Where You Were Last Night, and They’re Not Keeping It Secre gestoßen bin. Die Kernaussage: Den meisten Leuten ist irgendwo bewusst, dass Apps die Standortdaten und weitere Informationen des Nutzers aufzeichnen. Wie umfassend die Aufzeichnungen aber schon sind, hat die New York Times aufgearbeitet.

Datenpunkte von GPS-Standortdaten

Dazu hat die New York Times eine Karte genommen und dort Datenpunkte einzeichnen lassen. Die Datenpunkte von 12 Millionen ‘anonymen’ Nutzern ergaben 50 Milliarden Ortungspunkte. Deren Bewegungen auf eine Karte übertragen, zeichnen Autobahnen, Nebenstraßen und Fahrradwege nach. Jede Datenspur zeigt dabei den Weg eines anonymen Handybenutzers, dessen Standortdaten per App aufgezeichnet werden.

Das ist aber wohl nur ein winziger Teil dessen, was bei Datenbrokern über diese Benutzer gesammelt wird. Und anhand der Daten ist es möglich, einen anonymen Benutzer herauszugreifen und dessen Bewegungsdaten genauer anzuschauen. Damit werden die anonymen Benutzer plötzlich gläsern: Es ist schnell klar, wo die Person wohnt, eventuell arbeitet, welche Interessen sie hat, wo die Kinder zur Schule gehen etc. Der ‘Preis’ für die Nutzung kostenloser Dienste über Handy-Apps.

Im ZDF-Beitrag wird dann das Ganze für Deutschland aufbereitet. Die Leute bestätigen beim ersten Aufruf der App, dass ihre Daten im Sinne der DSGVO verarbeitet werden dürfen. Aber überwiegen ist den Nutzern nicht bewusst, welche Blanko-Vollmacht die ausstellen und was dies für Folgen hat. Da ich über eScooter blogge, ist mir spontan das Thema Elektro-Tretroller-Sharing eingefallen, wo die Fahrstrecken der Nutzer per GPS über die App der Verleihunternehmen erfasst werden. Aber eigentlich trackt fast jede App die Nutzer.

Information am Rande, die ich noch nicht als Blog-Beitrag aufbereiten konnte: Ich lasse hier Google Fit, aber ohne GPS-Standortermittlung, meine Strecken beim Gehen und Nordic Walking aus gesundheitlichen Gründen aufzeichnen. Irgendwann weilte ich vor einem Jahr in der Eifel und wunderte mich, dass Google Fit keine Schritte mehr in der Anzeige wiedergeben wollte. Dachte schon, der Bewegungssensor des Smartphones sei durch einen Sturz kaputt (hatte ich bei einem Gerät schon mal), oder die App hat einen Bug (auch das hatte ich bei Google Fit schon). Also Daten der Android-App löschen lassen, App beenden, neu starten. Hat alles nichts gebracht. Als ich dann zufällig in die Nähe eines offenen WLANs kam, liefen plötzlich die an diesem Morgen gezählten Schritte in der App-Anzeige ein. Ich habe es dann auch bei mir zuhause beobachtet: Sobald keine Internetverbindung per Mobilfunk oder WLAN besteht, stellt die App die Funktion ein.

Im ZDF-Beitrag wird auch die von mir im oben verlinkten Consumer Report Artikel Popular Apps Share Intimate Details About You With Dozens of Companies zugrunde liegende norwegische Studie thematisiert, die zehn zufällige Apps in Sachen Datenerfassung ausgewertet hat.

Der Benutzer wird für Datenhändler getrackt und ausgeforscht, was das Zeug hält. Weltweit gibt es solche Firmen, die Milliarden an Datensätzen, auch mit Bewegungsdaten besitzen – was der Öffentlichkeit unbekannt ist. Diese Daten verkaufen sie anonymisiert an Verkehrsplaner, Marktforschungsunternehmen und so weiter. Sind alles hehre Ziele, die man außen auf die Fahnen schreibt. Aber: Anonyme Daten gibt es nicht mehr!

Anonyme Daten gibt es nicht mehr!

Landauf, landab wird (auch von diversen Politikern) die ‘weiße Salbe’ der anonymen Daten auf’s Tablett geschmiert. Aber das ist eine Fiktion – es gibt im Prinzip keine anonymen Daten mehr. Nur der Aufwand, um diese zu deanonymisieren kann recht hoch werden.

Beispiel: Bei Datensätzen mit anonymen GPS-Einzelbewegungsdaten fallen so viele Informationen an, dass man Personen häufig mit einfachen Mitteln identifizieren kann. Wenn jemand täglich von einem bestimmten Ort mit dem Handy los fährt, an einer Schule hält, um denn zu einem Firmenparkplatz oder zu einem Bürogebäude, einer Fabrik etc. zu fahren, lässt sich die Person sehr gut deanonymisieren. Die Meta-Daten der GPS-Positionserfassung, kombiniert mit anderen Datenquellen machen es möglich.

Das ist so ähnlich wie der AOL-Fall mit anonymen Suchdaten von Benutzern, die diese sehr schnell identifizierbar machten. Alleine durch die Suchbegriffe über einig Zeit gelang es damals Reportern, Personen aus den Datensätzen aufzuspüren.

Da viele Nutzer in sozialen Netzwerken wie Facebook, LinkedIn etc. unterwegs sind und oft auch persönliches mit Ortsbezug posten, ist das arg einfach. Wird dann noch eine App des Netzwerks genutzt, ist die Person schon ‘gläsern’.

Die Datenbroker wissen also extrem viel. Man könnte nun noch argumentieren, dass man die Daten als große Masse anonymisiert an Kunden als Datensätze abgegeben werden.  An dieser Stelle verweise ich auf ein weiteres Thema, welches ich aus Zeitmangel hier im Blog nicht separat thematisieren konnte. Zum Jahresende fand ja der Hacker-Kongress 36C3 statt, auf dem eine Session sich mit anonymisierten Daten befasste. Heise hat das Ganze in diesem Artikel aufbereitet – einfach mal reinlesen.

Erschreckend, diese Erkenntnisse – ich selbst versuche zwar datensparsam unterwegs zu sein und habe die GPS-Erfassung meiner Geräte i.d.R. abgeschaltet. Auch heutiger Sicht sollten Leuten, die mobil erreichbar sein aber datensparsam unterwegs sein wollen, nur raten, sich eines der alten Handys mit ‘nur zum Telefonieren-Funktionen’ zuzulegen. Da weiß nur der Provider, wo man an Funkmasten eingeloggt war.

Ähnliche Artikel:
Lesetipp: Insights zur Gesichtserkennung


Anzeige
Dieser Beitrag wurde unter App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Datenschutz unterlaufen: Wie Apps uns legal ausspionieren


  1. Anzeige
  2. oberon sagt:

    ich für meinen Teil schalte die Mobile Daten auf dem Smartphone nur ein, wenn ich Sie benötige. Ansonsten läuft mein Android nur mit Telefon und SMS. Auch WLAN & Bluethooth ist meistens aus. Nutze ebenfalls kein Google Playstore. Falls ich mal eine App benötige suche ich mir die geeignete App zum manuellen Install auf relativ sicheren Seiten wie z.B apkmirror.com. Da ich aus Prinzip schon keine Social Media benutze ist dies für mich der gangbare Weg so wenig Daten zu hinterlassen wie es ohne größeren Aufwand möglich ist. Würde aber den Luxus trotz der “Gefahren”nicht mehr missen wollen. Ich beobachte immer wieder, wie sorglos mit den verfügbaren Diensten umgegangen wird. Obwohl es oft nicht gebraucht, ist man stets online, ggf. vor lauter Angst irgendwas zu verpassen. Selbst bei meinen IT-Kollegen ist es bei vielen kein Thema. Aber das muss jeder selbst wissen wie er damit umgeht.
    Schöne neue Welt.

    • ralf sagt:

      zu “Nutze ebenfalls kein Google Playstore”:

      nicht der “google play store” ist das grosse problem, sondern die “google play services” – denen entkommt man nicht zwingend, indem man den play store meidet.
      https://developers.google.com/android/images/play-services-diagram.png

    • Smyth sagt:

      dies ist auch meine Strategie für das Smartphone:
      -mobile Daten, W-LAN, Bluetooth werden nur bei Bedarf eingeschaltet
      -APP-Berechtigungen so gering wie notwendig eingestellt
      -Standort ist immer aus
      -keine Anmeldung und Nutzung des Google Playstore
      -keine Social Media (da bin ich halt der Aussenseiter im Freundeskreis)
      -der Nutzungsdatenzugriff vieler APPs wird meist als nicht zulässig eingestellt
      -zusätzliche APPS nur von FDROID und apkmirror.com installieren
      -mit NetGuard den Datenverkehr und Zugriff aller APPs kontollieren und
      wo es möglich ist beschränken, vor allem die geschwätzigen Google-APPs
      -Verwendung des Tor Browsers
      -kein Internet-Banking und keine Banking-APPs
      -Google Maps nicht benutzen

      Der Blog von Mike Kuketz hat mich zum Thema Datenschutz beim Smartphone sensibilisiert und mir gute Empfehlungen geliefert.

  3. 1ST1 sagt:

    “Beispiel: Bei Datensätzen mit anonymen GPS-Einzelbewegungsdaten fallen so viele Informationen an, dass man Personen häufig mit einfachen Mitteln identifizieren kann. Wenn jemand täglich von einem bestimmten Ort mit dem Handy los fährt, an einer Schule hält, um denn zu einem Firmenparkplatz oder zu einem Bürogebäude, einer Fabrik etc. zu fahren, lässt sich die Person sehr gut deanonymisieren. Die Meta-Daten der GPS-Positionserfassung, kombiniert mit anderen Datenquellen machen es möglich. ”

    Das kann jeder, der ein Smartphone hat und Google-Dienste hat, ganz leicht selbst in seinem Google-Profil nachgucken. Für jeden Tag ist da ein genauer Track zu finden, teils mit genau bezeichneten Ortspunkten (Adresse, Firma, Geschäft, usw.), wo man da war, und auch wie lange. Ich lasse mich z.B. nie zum Kindergarten oder der Schule meiner Kinder hin navigieren, aber Google Maps schlägt mir inzwischen um die Zeit wo ich da hin muss, um die Kinder abzuliefern oder abzuholen, diese Ziele schon automatisch vor. Interessant dabei, das Handy bleibt dabei eigentlich immer im Auto liegen, aber trotzdem scheinen die Standortdaten hinreichend genau, dass die genau wissen, was das eigentliche Ziel ist, obwohl man wegen freiem Parkplatz nicht genau davor parkt. Das Problem ist, man kann im Google-Profil dieses Tracking zwar ausschalten, aber ich glaube nicht, dass es ausgeschaltet ist, sondern nur die Daten nicht mehr angezeigt werden.

    Selbst ohne Fitnesstracker weiß Google auch wie fit ich bin, weil die ganu wissen, wann ich Auto gefahren bin, wann gelaufen oder Rad gefahren bin, sofern ich das Ding dabei habe, und wie schnell und wie weit ich gefahren/gelaufen bin. Selbst wenn ich Öffi gefahren bin, das wissen die. Kann man alles im eigenen Profil sehen, wenn man es nicht abgeschaltet hat (die haben die Info trotzdem, siehe oben)

    Da wird jeder Datenschnipsel genutzt, den sie kriegen können. Google weiß auch genau, welches Auto ich fahre, wegen der Kennung der Bluetooth-Verbindung für die Freisprecheinrichtung, USB-Verbindung für Android-Auto und CarNet können sie auch belauschen. Hochinteressant…

    • Günter Born sagt:

      Dann verzichte mal auf Google Maps und schau dir im Dashboard an, was da noch auftaucht.

      • 1ST1 sagt:

        Das Tracking funktioniert auch ohne dass ich Google Maps starte. Android macht ständig Standortbestimmung. iOS übrigens auch. Ja, und selbst unser geliebtes Windows 8 und 10 kann das auch, sogar ohne GPS-Empfänger (1-2 sichtbare WLANs reichen…).

  4. Anzeige

  5. Ärgere das Böse! sagt:

    Der System-App-Ramsch auf den Huawei-Spyware-Phones will auch Zugriff auf Telefonnrn., Kontakte usw. usf, dass er funktioniert.
    Nicht nur Google ist ein Prolem. Die Spyware-Phone Hersteller auch.
    Für mich sind das keine Menschen, weder bei Google, noch bei den Spyware-Phone Herstellern.

  6. Mance sagt:

    SCNR
    Die Hunde bellen, die Karawane zieht weiter.
    Und für hartgesottene was von southpark
    https://www.southpark.de/alle-episoden/s15e01-humancentipad

    duck und weg ;-)

  7. Nobody sagt:

    Solange die Menschen keine konkreten, negativen Konsequenzen aus der nahezu vollständigen Überwachung spüren, wird ihnen das weitgehend gleichgültig sein und bleiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.