Die Stiftung Warentest hat den Datenschutz bei Apps untersucht: von 63 iPhone-, Android- und Windows-Phone-Apps wurden 9 als sehr kritisch und 23 als kritisch eingestuft. Werden persönliche Daten wie Telefonnummern oder Namen nicht anonymisiert und Passwörter unverschlüsselt übertragen, stuften es die Berliner Tester als sehr kritisch ein. Apps, die für den Betrieb nicht notwendige Daten übermitteln, wurden als kritisch eingestuft. Unbedenklich sind Apps die keine oder nur für die Funktionen notwendige Daten übermitteln.
Datenweitergabe in die USA
“Im Regelfall landen die Daten in den USA, dort wird unsere Auffassung von Datenschutz nicht geteilt. Es gibt kein Auskunftsrecht und kein Recht auf Löschung gespeicherter Daten”, sagt Dr. Alexander Dix, Beauftragter für Datenschutz in Berlin. In vielen Fällen werden Daten im Hintergrund an Werbevermarkter wie Double Click und Auswertungs-Unternehmen wie Flurry, Localytics oder Mobclix.
Nutzerdaten behinhalten auch Orte
Zwar werden Nutzer bei der Verwendung ihrer Geodaten gefragt, gleiches gilt für Push-Mitteilungen, doch ungefragt werden Gerätenummer (UDID), Nutzungsstatistiken sowie Daten aus dem Adressbuch übertragen. Für Apps wie Whats App Messenger oder Facebook sind die Namen aus dem Adressbuch wesentlich für einige Funktionen, meist wird auf die Verwendung nur in den Tiefen der Nutzungsbedingungen verwiesen. Werbefinanzierte Apps geben die Daten weiter für so genanntes Targeting. Je genauer eine Werbeeinblendung auf Interessen und Vorlieben der Person zugeschnitten ist, um so höher ist die Wahrscheinlichkeit des Klicks bzw. Fingertipps.
So sendet die App Foodspotting Daten an Flurry, dabei sind Mailadressen und Telefonnummern offen lesbar, wie bei einer Postkarte. An einem öffentlichen Hotspot die perfekte Gelegenheit für “Mitleser”. Chefkoch.de sendet die Gerätenummer und eine Benutzerstatistik an Localytics, genau wie der Barcode Scanner. Flurry bekommt die Nutzerdaten vom Smart Runner. MeineStadt kommuniziert mit Servern von Fremdfirmen. Der beliebte Whats App Messenger überträgt den Mobilfunkanbieter und die übrigen Daten werden nicht anonymisiert übermittelt. Als positive Beipsiele für Apps, die nur tun, was sie sollen, nennt Stiftung Warentest den DB Navigator, das HRS Hotelportal, die ARD Sportschau sowie die Filmdatenbank IMDb.
Auch “Staats-Sender” reichen Daten weiter
Unabhängig von der Stiftung Warentest hat sich auch das NDR-Medienmagazin Zapp die ungefragt Datenübermittlung bei Apps angeschaut. Pikant: Auch die Apps öffentlich-rechtlicher Sender übertragen im Hintergrund Daten. Die Radio-Apps von NDR, WDR, BR übermitteln die Gerätenummer an den App-Entwickler Tobit Software. Mit der Gerätenummer kann nach Einschätzung von IT-Experten ein Nutzer eindeutig identifiziert werden, die Datenschützer gehen deshalb von einem gewissen Personenbezug aus. Die iPad Radio-App vom Saarländischen Rundfunk transferiert die UDID auch an Facebook – allerdings ohne das Wissen des Senders. Diese Datenübermittlung wurde inzwischen unterbunden.
Die RTL-App zur Formel Eins Pole Position übermittelt die Gerätekennung an Double Click, ein Tochterunternehmen von Google. RTL erklärte gegenüber Zapp, dass die Daten lediglich zur Geräte-Erkennung dienen und nicht verknüpft, gespeichert oder ausgewertet werden würden. Der Sender arbeite daran, das Verfahren durch anonymisierte Mechanismen zu ersetzen. Die App des Zeit-Verlags übermittelt neben der Gerätenummer auch noch den Namen des iPhone, häufig ist das der Name des Nutzers.
Apple steht dieser Praxis kritisch gegenüber. Erst vor einigen Wochen musst der Chef von Path bei Apple-Boss Tim Cook antreten und sich die Leviten lesen lassen, weil seine App ungefragt Nutzerdaten übermittelt hatte. Auch Apple ist hier gebranntes Kind und informiert nun genauer über die Verwendung von Geodaten als auch der Auswertung des Adressbuchs für den Sprachassistenten Siri.