Verstöße gegen das deutsche Datenschutzrecht
FAZ, 30.11.2017, von Michael Spehr
Sie wollen auf Standort, Kontakte und Kamera zugreifen: Apps fürs Smartphone fordern immer mehr Berechtigungen an. Meist nickt der Nutzer alles ab. Das kann unangenehm werden.
Das Beispiel ist legendär: Eine Taschenlampen-App für Android wurde 50 Millionen Mal aus Googles Play Store geladen. Erst dann entdeckte eine amerikanische Behörde mehr oder weniger zufällig, dass die beliebte App ihren Nutzern tatsächlich heimleuchtete. Sie schaltete nämlich nicht nur die sonst als Fotoblitz benötigte LED-Leuchte auf der Rückseite des Smartphones ein, sondern sammelte zusätzlich alle nur verfügbaren Daten über Nutzer und Gerät. Diese Daten vom Aufenthaltsort bis zur Seriennummer des Smartphones wurden vom Hersteller der Software gespeichert und an Dritte verkauft. […]
Das Problem ist mittlerweile weithin bekannt: Apps erscheinen praktisch oder bestenfalls harmlos. Ihr Zweck besteht jedoch nicht unbedingt darin, als nützliche Helfer verkauft zu werden oder unentgeltlich Gutes zu tun. Sie werden vielmehr mit dem Ziel programmiert, Nutzerdaten abzugreifen, um diese vor allem an Werbenetzwerke zu verkaufen. Vor einigen Jahren luden Sicherheitsforscher des Unternehmens Eurecom 2000 Gratis-Apps für Android aus 25 verschiedenen Kategorien im Google Play Store auf Testgeräte. Der Netzwerkverkehr der Apps nach außen wurde abgefangen und analysiert. Demnach steuerten die Programme heimlich insgesamt 250 000 verschiedene Webadressen an und gaben Daten weiter.[…]
Aber wer bestimmt, was Apps dürfen? Die Programmierer der App, der Hersteller des Betriebssystems oder die Nutzer? Was passiert, wenn Apps mehr fordern, als sie brauchen? Bis Android Version 6, das Ende 2015 auf den Markt kam, konnte man den Zugriff auf private Daten nur pauschal zulassen oder ablehnen. Dann wurde allerdings die App in der Regel gar nicht erst installiert. […]
Als Hintertürchen lässt Google jedoch weitere Neugier zu
Ab Android Version 6 kann der Nutzer diverse Berechtigungen seinen Apps einräumen oder sie ihnen verweigern: für Kalender, Kamera, Kontakte, Sensoren, Mikrofon, SMS, Speicher, Standort und Telefon. Als Hintertürchen lässt Google jedoch weitere Neugier dadurch zu, dass es nicht zustimmungspflichtige Berechtigungen gibt. Darunter: der Abruf von W-Lan-Verbindungen in der Nähe, das Auslesen der W-Lan-Namen (SSID) sowie die Erfassung der Mac-Adresse und der privaten IP-Adresse des jeweiligen Nutzers. Ferner lässt sich der Zugriff auf die Netzwerkverbindungen und das Internet grundsätzlich nicht kappen. Auch die Kontaktaufnahme mit Bluetooth-Geräten, das Aussetzen der Bildschirmsperre, der Autostart und viele weitere Dinge hält Google für so unproblematisch, dass die Apps nach eigenem Gusto schalten und walten können. Wie in der vergangenen Woche ans Licht kam: Google nimmt sich sodann das Recht heraus, Standortdaten aller Android-Geräte zu erfassen, selbst wenn der Nutzer die Standortdienste ausgeschaltet hat. So entstehen minutiöse Bewegungsprofile. Wer sich wann wohin bewegt und wo er sich am liebsten aufhält, das ist metergenau nachvollziehbar. […]
Heimlich weitere Berechtigungen verschaffen
Ein weiteres Hintertürchen für neugierige Dienste hatte Google mit der Einführung von Berechtigungsgruppen geöffnet. Einmal installierte Apps konnten sich ungefragt und heimlich weitere Berechtigungen verschaffen, wenn der Nutzer seine Apps aus dem Google Play Store automatisch aktualisierte. Hatte man das Empfangen von SMS erlaubt, holte sich die Software mit diesem Trick zusätzlich das Recht zum Senden von Kurznachrichten. […]
Bequemlichkeit ist fahrlässiger Leichtsinn
Es lohnt sich also, jede einzelne Berechtigung jeder einzelnen App in Augenschein zu nehmen und nicht alles abzunicken, was einem gezeigt wird. Diese Bequemlichkeit ist fahrlässiger Leichtsinn. Datenschützer monieren, dass Apps die Nutzer nur unzureichend informieren, welche persönlichen Daten erfasst und wie diese weiterverwendet werden. Immer mehr Apps verlangen schon bei der Installation Zugriff auf Funktionen, über die private Kommunikation erfolgt, darunter das Adressbuch.
Fast alle Apps sammeln mehr Daten, als für deren Funktionalität erforderlich ist. Als Nintendo 2016 die erste Version seines Spiels Pokemon Go fürs Smartphone veröffentlichte, stellten Sicherheitsforscher fest, dass sich das Spiel den Vollzugriff auf die Google-Konten der Nutzer erlaubte. Das bedeutete nicht nur den Zugriff auf notwendige Funktionen wie den Standort und die Kamera, sondern auch auf die E-Mails der Nutzer, alle Inhalte auf Google Drive und mehr. Nach der Veröffentlichung des Sachverhalts sprach Nintendo von einem „Fehler“ und stellte eine weniger neugierige Version bereit. […]
Als die japanischen Monster vor knapp einem Jahr in die App Stores kamen, brachen sie gleich alle Rekorde: Innerhalb von 60 Tagen wurde das Programm mehr als 500 Millionen Mal heruntergeladen, im Juli kamen jeden Tag Umsätze von 18 Millionen Dollar zusammen. Die Marke von einer Milliarde Dollar Umsatz hat Pokémon Go längst überschritten. aus: FAZ, 29.06.2017, Jonas Jansen, Wer spielt eigentlich noch Pokémon Go?
Die Liste des Rechtemissbrauchs lässt sich bis ins Abstruse hin verlängern. Man werfe den Blick auf die Zugriffsrechte für das Mikrofon. Eigentlich ist schnell klar: Es wird benötigt für alle Anwendungen rund um die Sprachtelefonie und die Sprachsuche. Sodann für Software, die Tonaufnahmen erstellt, wie etwa Diktiergeräte oder Musikrekorder. Dagegen ist nichts zu sagen. Wer nun beim Missbrauch des Mikrofon-Zugriffs an eine Mithörwanze denkt, liegt nicht ganz falsch. Tatsächlich wird in dem Spionage-Krimi, den Sicherheitsforscher der Technischen Universität Braunschweig im Mai 2017 aufdeckten, Unhörbares ständig mitgehört: Die Wissenschaftler stießen auf mehr als 200 Android-Apps für ein Ultraschall-Tracking. Dazu werden Werbespots im Fernsehen oder Radio mit vom menschlichen Ohr nicht wahrnehmbaren Ultraschallsignalen überlagert. Das Smartphone hört mit und kann identifizieren, welche Werbung welche Person erreicht. […]
Verstöße gegen das deutsche Datenschutzrecht
Das alles sind Verstöße gegen das deutsche Datenschutzrecht. Der Nutzer muss freiwillig und informiert solchen Verfahren aktiv zustimmen. Wenn Facebook mit schöner Regelmäßigkeit den in seinem App-Zentrum versammelten Anwendungen und Spielen unversehens den Zugriff auf private Daten gibt, ist das ebenfalls rechtswidrig, wie zuletzt das Kammergericht Berlin Anfang November urteilte.
Gleichermaßen gilt bei Windows 10 von Microsoft: Man gewährt unversehens, ohne ausreichend informiert zu werden, vielen Apps den Zugriff auf Standort, Kamera, Mikrofon und mehr. Klickt man auf die von Microsoft empfohlenen Einstellungen, genehmigt man dem Softwaregiganten weitgehende Rechte, was die Verbraucherzentralen wiederholt und scharf kritisiert haben. Das Rechtesystem der Apps und Betriebssysteme verlangt deutlich mehr Aufmerksamkeit. Es sind vor allem Google und die Werbeindustrie, die mit ihrem Datenhunger den Bogen überspannt haben. Der erste Schritt gegen die Neugier der Netzgiganten ist die Prüfung des eigenen Smartphones und jeder einzelnen App.
Hervorhebungen im Fettdruck und Einzug durch Schulforum-Berlin
zum Artikel: FAZ, 30.11.2017, Michael Spehr, Apps auf dem Smartphone: Gelinkt mit den Rechten
Die Auswertung von Nutzerprofilen, die Verwertung von Userdaten für Werbezwecke, der Verkauf von Apps oder gebührenbasierte Streamingportale, damit verdienen die Anbieter von Internetdiensten am meisten Geld. 9,32 Milliarden US-Dollar nahm allein Facebook im zweiten Quartal 2017 ein. Der User als „Datenschaf“ bekommt seine „Monetarisierung“ meist nur dort mit, wo er direkt zahlt. „Wir freuen uns zwar alle, dass das Internet kostenlos ist, aber am Ende ist es deshalb kostenlos, weil wir das Produkt sind, weil wir alle unsere Daten den Konzernen preisgeben“. Aus: TSP, 9.12.2017, Die Unabhängigkeit vom System, Digitales Berlin