Norwegische Verbraucherschützer: DSGVO-Beschwerde gegen Grindr
Die Verbraucherschützer zeigen auf, wie umfassend populäre Apps persönliche Daten und Identifikations-Codes an Werbekunden weitergeben.
Auch wenn die weitergeleiteten Daten vordergründig pseudonymisiert sind, können sie über Werbe-IDs zu einem kompletten Nutzerprofil zusammengefügt werden.
(Bild: Forbrukerrådet)
Die norwegische Verbraucherschutz-Agentur Forbrukerrådet dokumentiert die direkte Weitergabe sensibler Daten duch beliebte Apps an mitunter Dutzende verschiedener Werbepartner. Gegen die bei homo- und bisexuellen Männern beliebte Dating-App Grindr und mehrere Werbepartner legten die Verbraucherschützer gar Beschwerde wegen Verstoßes gegen die europäische Datenschutz-Grundverordnung (DSGVO) ein.
Datenschutz-Grundverordnung bremst das Tracking nicht
"20 Monate nachdem die Datenschutz-Grundverordnung zum Tragen kam, werden Nutzer immer noch heimlich überwacht und getrackt – ohne die Möglichkeit zu wissen, wer ihre Daten verarbeitet oder wie man sie stoppt", heißt es einer Studie, die die staatlich finanzierte Verbraucherschutz-Agentur am Dienstag vorgelegt hat. Darin dokumentiert Forbrukerrådet eine ausführliche legale und technische Analyse, wie Nutzerdaten von insgesamt zehn Android-Apps verarbeitet und weitergegeben werden.
Unter den getesteten Apps sind mehrere Dating-Apps wie Grindr und OKCupid, aber auche eine App für Muslime, zwei Perioden-Kalender und die an Kinder gerichtete App "My Tanking Tom 2". Um die Datenweitergabe an Werbekunden zu dokumentieren, analysierten die Verbraucherschützer sowohl die Datenschutzerklärungen der Hersteller als auch die direkt zu beobachtende Datenkommunikation der Apps.
Werbung außer Kontrolle
Bei den zehn Apps wurden Datenströme an 135 verschiedene Dritt-Firmen dokumentiert. Viele davon sind Werbeplattformen, die Daten im Zuge des Werbegeschäfts wie programmatischen Werbeauktionen an eine Vielzahl weiterer Firmen weitergeben. Spitzenreiter war hier die Makeup-App Perfect365, die Nutzerdaten an gleich mehr als 70 Drittfirmen weitersendete.
Unter den gesendeten Daten befanden sich oft genaue Standortdaten und eindeutige Kennungen der verwendeten Smartphones, dazu auch die IP-Adresse der Nutzer. Die Firmen betonen immer wieder, nur pseudonymisierte Daten weiterzugeben; Forbrukerrådet verweist hingegen darauf, dass dies durch die Weitergabe eindeutiger ID-Nummern konterkariert werde. Angesichts der Fülle kursierender Daten können viele Branchenteilnehmer die Daten zu einem umfassenden Profil, einem "digitalen Zwilling", zusammenfügen.
Keine Mitsprache
"Keine der Apps stellte den Nutzern die notwendigen Daten zur Verfügung um eine informierte Entscheidung über das Tracking zu treffen", kritisieren die Verbraucherschützer. Viele Anbieter verweisen schlicht auf die systemweiten Einstellungen in Android. In Googles Betriebssystem ist per Standard eine so genannte Advertising ID integriert, auf die Apps zugreifen können, ohne dazu eine explizite Berechtigung beim Nutzer anzufordern. Diese ID wurde im Test an 70 verschiedene Drittfirmen übermittelt.
Zwar können Nutzer die Personalisierung über diese ID per Android-Systemeinstellungen deaktivieren. Eine Untersuchung von 2016 habe aber festgestellt, dass lediglich 17 Prozent der Nutzer diese Einstellungen verändert hätten. Dabei sei herausgekommen, dass 30 Prozent davon irrtümlich annahmen, die Datenübermittlung deaktiviert zu haben.
