Grindr, Tinder, MyDays & Co.

Neue Studie zeigt, wie populäre Apps systematisch intime Nutzerdaten weitergeben

Norwegische Verbraucherschützer:innen haben heute eine neue Untersuchung zu Online-Werbung veröffentlicht, in der sie eindringlich vor den Folgen illegaler Datensammlung warnen. Basierend auf den Ergebnissen wollen Verbraucher- und andere zivilgesellschaftliche Organisationen in Europa ihre Behörden auffordern, die höchst fragwürdigen Praktiken der Online-Werbeindustrie zu beenden.

Perfekte App-Nutzer:innen aus Sicht der Werbeindustrie: Unbeschwert und von allen Seiten einsehbar. Gemeinfrei-ähnlich freigegeben durch unsplash.com Jeremy Bishop

Dating-Apps, Zyklus-Tracker oder harmlos scheinende Tastatur-Apps: Norwegische Datenschützer:innen haben sich zehn beliebte Smartphone-Apps näher angesehen, darunter Tinder, My Days oder Wave Keyboard. Alle der untersuchten Apps gaben personenbezogene und in aller Regel intime Daten an Werbenetzwerke oder ähnliche Dritt-Anbieter weiter, die daraus individualisierte Profile der Nutzer:innen erstellen – eine Praxis, die in Europa in dieser Form illegal ist.

„Diese Praktiken sind außer Kontrolle geraten und verstoßen gegen die EU-Datenschutzgrundverordnung (DSGVO)“, sagt Finn Myrstad, der sich im norwegischen Verbraucherrat Forbrukerrådet um Digitalpolitik kümmert. Das Ausmaß dieses Trackings mache es für Nutzer:innen unmöglich, bewusst und frei zu entscheiden, wie persönliche Daten gesammelt, geteilt und eingesetzt werden, so Myrstad.

Systematische Verstöße gegen Datenschutzregeln

„Out of Control“ – Außer Kontrolle – lautet passend der Titel der heute veröffentlichten Untersuchung von Forbrukerrådet. Unterstützung erhielten die Norweger:innen von der Sicherheitsfirma Mnemonic, dem Tracking-Experten Wolfie Christl von Cracked Labs und dem Datenschützer Max Schrems und seiner NGO noyb. Gemeinsam konnten sie nachweisen, dass die Online-Werbeindustrie in großem Umfang personenbezogene Daten illegal sammelt und damit systematisch gegen das europäische Datenschutzrecht verstößt. Dadurch werden Verbraucher:innen besonders anfällig für Manipulation und Ausbeutung, warnen die Forscher:innen.

Bei der Perioden-App MyDays bemängelt der Bericht beispielsweise, dass die mit GPS ermittelten Ortsangaben der Nutzerinnen mit einer ganzen Reihe an Drittparteien geteilt werden, die mit verhaltensbasierter Werbung und Profiling ihr Geld verdienen. Die Dating-App OkCupid wiederum teilt hochpersönliche Daten über Sexualität, Drogenkonsum, politische Ansichten und mehr mit dem Analytikunternehmen Braze.

Die negativen Effekte von Profiling

Viele Akteure in der Online-Werbebranche sammeln Informationen von einer Vielzahl an Quellen, unter anderem beim Surfen im Netz, von angeschlossenen Geräten und genutzten sozialen Medien. Wenn diese Daten kombiniert werden, können daraus viele Informationen über die Nutzenden abgeleitet werden. Allein daraus kann teilweise auf die sexuelle Neigung von Individuen geschlossen werden oder welche politische Meinung sie vertreten, wie bereits 2015 in einer Studie gezeigt wurde.

Ad-Tracking Untersuchung
Jede der zehn untersuchten Apps teilt mitunter intime Details der Nutzer:innen. (Screenshot) Alle Rechte vorbehalten Forbrukerrådet

Diese massive kommerzielle Überwachung steht im Widerspruch zu Grundrechten und kann für eine Vielzahl schädlicher Anwendungen genutzt werden. Ebenfalls hat die weit verbreitete Überwachung das Potenzial, das Vertrauen der Verbraucher:innen in digitale Dienste nachhaltig zu beeinträchtigen, warnt Finn Myrstad.

Eine vergangenes Jahr veröffentlichte Studie von Amnesty International kam zu einem ähnlichen Ergebnis. Die NGO warnte damals, dass datengesteuerte Geschäftsmodelle eine ernsthafte Bedrohung für Menschenrechte wie Meinungs- und Redefreiheit, Gedankenfreiheit sowie das Recht auf Gleichheit und Nichtdiskriminierung darstellen.

Der Norwegische Verbraucherrat hat nun angekündigt, juristisch gegen die Datensammelwut der Industrie vorzugehen. Er will formelle Beschwerden unter anderem gegen Grindr, eine Dating-App für schwule, bi, trans und queere Menschen sowie Unternehmen, die über die App persönliche Daten erhalten haben, bei der norwegische Datenschutzbehörde wegen Verstößen gegen die DSGVO einreichen. Zu diesen Unternehmen zählen etwa Twitters MoPub, AT&Ts AppNexus, OpenX, AdColony und Smaato.

Forderungen an Politik und Unternehmen

Die norwegischen Verbraucherschützer:innen fordern Unternehmen auf, Alternativen zum derzeit dominierenden Online-Werbesystem zu entwickeln. Sie schlagen dafür unter anderem Technologien vor, die nicht auf die Erhebung und Weiterverarbeitung personenbezogener Daten angewiesen sind.

Des Weiteren wenden sie sich an die Politik, da die Konsument:innen ihrer Ansicht nach nur sehr limitierte Möglichkeiten haben, um sich gegen die zügellose Nutzung ihrer Daten zu wehren. Es liege an den Behörden, wirksame Maßnahmen zu ergreifen, um die Verbraucher:innen vor der illegalen Nutzung personenbezogener Daten zu schützen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten.

Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

 

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten.

Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

Dann unterstütze uns hier mit einer Spende.

2 Ergänzungen
  1. Was ich mich frage: Könnte nicht ein Softeware-Programm entwickelt werden, dass willkürlich Unfug in den Datenverkehr einschleust? Damit wären wohl abgesaugte Daten eher wertlos.

    1. Das halte ich für nicht machbar, wenn es massentauglich sein soll und für Standardgeräte gedacht ist. Sowas klappt nur, wenn die Geräte- bzw. Betriebssystemhersteller das von vornherein implementieren. Es müsste ja für die Komponenten, aus denen ausgelesen wird, jeweils ein Dummy geschaffen werden, welches täuschend echte Falschinformationen liefert. Das verbraucht auch Ressourcen und abverlangt von Usern, dass diese akribisch ihre Maschinen konfigurieren. Welche App welche Zugriffe auf die authentischen Daten erhält, muss konfiguriert werden. Sonst kann man die App nicht nutzen.

      Es gibt je nach Betriebssystem aber bestimmt die Möglichkeit speziell für einzelne konkrete Apps etwas zu programmieren, was den Upload manipuliert. Z.B. könnte eine Cloud mit Fakedaten genutzt werden, aus denen das passende geschöpft werden kann. Fraglich nur, ob das wirklich anonym umgesetzt werden kann. Sonst bringt das auch wieder keinen Sicherheitsgewinn. Und über kurz oder lang werden die Datensammler das mitbekommen und Gegenmaßnahmen ergreifen. Dann muss die Schutzsoftware gepatcht werden und ein Wettrennen entsteht.

      Ich denke es wäre besser, wenn die Gesetzgebung da was macht.
      1. Ampel einführen, die ganz oben in den Nutzungsbedingungen (Besser noch direkt über dem Einverstanden-Button) stichwortartig auflistet, wo die Hauptgefahren bestehen und dementsprechend eine Warnfarbe (Grün Gelb Rot) darstellt.
      2. Geschäftsfeld Daten-Drittnutzung bzw. Profiling komplett lahmlegen. Ist eh purer Kommerz, der da stattfindet, offiziell + Überwachung, inoffiziell.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.