Datenanfragen.deRechtlich gegen Sammelwut vorgehen

Selbst mit viel Aufwand lässt sich nur annähernd messen, im welchem Umfang etwa Handy-Apps tracken. Mit einem Online-Werkzeug will ein Verein aus Datenschützern jetzt Nutzer*innen helfen: Sie sollen ihr Recht auf Privatsphäre gegen Datensammler besser durchsetzen können.

Surreale Darstellung von einem Staubsauger, der aus einem Smartphone Daten absaugt, Steampunk-Optik.
So stellt sich ein Text-zu-Bild-Generator das Absaugen von Daten aus einem Handy vor (Symbolbild) – Bild: DALL-E-2 (a vacuum cleaner sucks data out of a smartphone, highly detailed, digital art, steampunk)

Nicht nur Websites sammeln fleißig Daten ihrer Nutzer*innnen, auch Handy-Apps tun das. Und Handys verraten mit ihren Kontaktbüchern und Standortdaten besonders viel über ihre Besitzer*innen. „Tracking ist ein gesellschaftliches Problem, es ist überall“, sagt Lorenz Sieben, einer der Vorsitzenden im Verein Datenanfragen.de. Der Verein will, dass Menschen ihr Grundrecht auf Datenschutz und Privatsphäre besser durchsetzen können.

Gemeinsam mit seinen Mitstreitern Malte Wessels und Benjamin Altpeter hat Sieben am gestrigen Donnerstag die Arbeit des Vereins und die Forschung dahinter vorgestellt. Anlass war ein Vortrag im Rahmen von FireShonks, das ist eine der zahlreichen dezentralen Veranstaltungen, die dieses Jahr als Ersatz für den Hackerkongress des Chaos Computer Clubs stattfinden.

Zwar soll die Datenschutz-Grundverordnung (DSGVO) die Rechte von Nutzer*innen schützen – aber in der Praxis passiert das eher punktuell. Nach wie vor kann kaum jemand kontrollieren, in welchem Umfang Datensammler personenbezogene Daten scheffeln.

Telefonnummer, Standort, Kontakte

Die Dimension davon macht die Master-Arbeit von Benjamin Altpeter anschaulich. Er hat sie am Institut für Anwendungssicherheit der Technischen Universität Braunschweig eingereicht. Altpeter hat sich rund 4.400 populäre Apps für iOS und Android vorgeknöpft und dabei vor allem zwei Dinge untersucht.

Zuerst hat Altpeter geschaut, in welcher Form diese Apps ihre Nutzer*innen um Erlaubnis fürs Tracking bitten. Entsprechende Einblendungen sind oft manipulativ gestaltet, etwa indem der Button zum Ablehnen grau oder klein dargestellt wird. Solche sogenannten Dark Patterns gibt es auch bei Websites. „Die Ergebnisse zeigen, dass mehr als 90 Prozent der Zustimmungsdialoge mindestens ein Dark Pattern enthalten“, schlussfolgert Altpeter in seiner Master-Arbeit über populäre Apps.

Zocken gegen den Bullshit

Als Zweites hat Altpeter geprüft, welche Daten die Apps tatsächlich übertragen. Zu den Arten von untersuchten Tracking-Daten gehörten unter anderem Telefonnummer, E-Mail-Adresse, Ort, Geräte-ID und Kontakte. Da sich das nicht ohne Weiteres so beobachten lässt, hat Altpeter aufwendige Test-Umgebungen erstellt, um durch die Apps verschickte Daten mitzulesen. Teilweise wurden sie nicht in einfach lesbarer Form übermittelt. Eine Vollerfassung war in diesem Rahmen zwar nicht möglich, aber die Beobachtungen lassen dennoch ein klares Fazit zu: Die Mehrheit der untersuchten Apps habe Altpeter zufolge Tracking-Daten übertragen, unabhängig von der Zustimmung der Nutzer*innen.

Datensammler in den USA, Israel, Singapur, China und Russland

Am häufigsten gingen die Daten demnach zu US-amerikanischen Anbietern, allen voran Google und Facebook. In der Analyse tauchen aber auch Unternehmen aus Israel, Singapur, China und Russland auf. Weitere Untersuchungen veröffentlicht der Verein Datenanfragen.de auf einem eigenen Blog.

Angesichts solcher Forschungsergebnisse sehen sich Nutzer*innen einer schwer durchschaubaren Macht gegenüber. Eine mögliche Maßnahme gegen solche Datensammelei sind datenschutzfreundliche Apps und Werkzeuge gegen Tracking. Anregungen dazu bietet zum Beispiel der Verein Digitalcourage, der Kuketz-Blog, das mittlerweile nicht mehr aktive Infoportal mobilsicher und unser Kleines Einmaleins der digitalen Selbstverteidigung.

„Sie wollen wissen, wie viel wir wert sind“

Der Verein Datenanfragen.de geht hier allerdings einen anderen Weg. Nicht alle Leute können sich auf individueller Ebene schützen, wie Lorenz Sieben bei dem Vortrag erklärt. Das sei aufwendig und erfordere technisches Know-how. Es brauche vielmehr eine gesellschaftliche Lösung. Einen Weg sieht der Verein darin, rechtlich gegen Tracking vorzugehen – und gegen die damit verbundenen Geschäftsmodelle.

Zwar dürfen Nutzer*innen längst bei Datensammlern anfragen, welche Daten über sie vorliegen, und sie können die Anbieter auffordern, diese zu löschen. Aber kaum jemand möchte sich die Zeit und Mühe machen, für Dutzende Anbieter nach Kontakt-Möglichkeiten zu suchen. Genau an dieser Stelle möchte der Verein etwas ändern.

Daten löschen, Werbung widersprechen

Ein Screenshot von datenanfragen.de zeigt Unternehmen, die Daten sammeln
Nicht nur Amazon und Google sammeln Daten, wie dieser Screenshot von datenanfragen.de zeigt - Screenshot: datenanfragen.de

Auf der Website Datenanfragen.de lassen sich im großen Stil Anfragen an Datensammler formulieren. Der Verein bereitet dafür die entsprechenden Kontaktmöglichkeiten auf. Nutzer*innen müssen lediglich auswählen, an wen sie die Anfrage richten möchten. Dabei helfen Listen mit vorgeschlagenen Unternehmen, unter anderem Auskunfteien, Adress-Händler und Versicherungen. Nutzer*innen können dort ihre Daten anfragen, korrigieren lassen, zur Löschung auffordern sowie Widerspruch gegen Direktwerbung einlegen.

Je nach Anfrage muss man den Datensammlern allerdings Eckdaten wie den eigenen Namen und die Adresse offenlegen – schließlich müssen die Unternehmen erfahren, für welche Person sie überhaupt aktiv werden sollen. Der Verein Datenanfragen.de gibt an, gestellte Anfragen nicht selbst zu speichern. Sie seien lediglich lokal im Browser der Nutzer*innen hinterlegt und können als Datei exportiert werden.

Die Website macht es zwar deutlich einfacher, Anfragen zu stellen, dennoch braucht es dafür die Initiative von Nutzer*innen. Vergleichbare Angebote gibt es bereits seit Längerem, zum Beispiel selbstauskunft.net. Das Geschäft der Datensammler behindert das zunächst nicht; zumindest solange sich die Anzahl der Anfragen in Grenzen hält.

Nach wie vor ist Tracking aus dem Netz kaum wegzudenken. Im Spätsommer haben wir 100 der meistbesuchten Websites in Deutschland auf Dark Patterns untersucht und konnten zeigen: Vier von fünf setzten auf manipulative Cookie-Banner. Zumindest einige Anbieter haben nach unserer Presseanfrage ihre Cookie-Banner umgestaltet.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. Tolle Initiative!
    Und wenn sich herausstellt, dass Daten ohne Befugnis abgegriffen wurden kann – vor allem in besonders dreisten Fällen – auch mal ein Straftantrag gegen die Verantwortlichen in Erwägung gezogen werden:

    § 202b Strafgesetzbuch (Abfangen von Daten)
    Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

    Im Gegensatz zum Bundesdatenschutzgesetz braucht es hier keinen Personenbezug bei den Daten.

    1. Du hast aber schon gelesen, unter welchen Voraussetzungen das strafbar ist?

      Die Geräte-ID auslesen und übermitteln ist was anderes als die Übermittlung eines Dritten zu belauschen und die dort gewonnenen Daten zu verwenden.

      1. „Die Geräte-ID auslesen und übermitteln ist was anderes als die Übermittlung eines Dritten zu belauschen und die dort gewonnenen Daten zu verwenden.“

        Stimmt. Tatsächlich fehlt es dann am >Verschaffen im Übermittlungsvorgang<. Es muss allerdings nicht die Übertragung „eines Dritten“ sein. Auch „belauschen“ oder „verwenden“ braucht es für § 202b StGB nicht. Aber solange Daten vom Gerät ausgelesen werden passt es tatsächlich nicht.
        Dann bleibt wohl doch „nur“ Strafantrag nach § 42 Bundesdatenschutzgesetz.

        1. “ Dann bleibt wohl doch „nur“ Strafantrag nach § 42 Bundesdatenschutzgesetz.“
          Nein auch nicht.
          Ich sehe in (1)
          – einem Dritten übermittelt oder
          – auf andere Art und Weise zugänglich macht
          Weder der erste noch der zweite Anstrich gelten bei eigener Ausleitung und Verwendung

          In (2) könnte das bereichern greifen; Bleiben zwei Hürden:
          – ohne hierzu berechtigt zu sein, verarbeitet oder
          – durch unrichtige Angaben erschleicht
          Die Software ist eine Lizenz. Damit kann der Entwickler bestimmen, was da passiert. Und davon macht er Gebrauch. Also auch hier der erste Anstrich obsolet und der zweite kommt erst gar nicht infrage.
          Ehe irgendein Straftatbestand zum tragen kommt, muß ganz viel Wasser abwärts fließen.

          Irgendwo kommt dann die OpenSoucre (android) Keule her. Der Nutzer könnte ja den Code für sich selbst verändern.
          Sowas gibt es ja auch.
          Das dann aber Apps nicht mehr funktionieren – Stichwort: Bezahldienste etc. – ist dann Dein Problem, da die Voraussetzungen für die App nicht mehr vorhanden sind…

          1. „Die Software ist eine Lizenz. Damit kann der Entwickler bestimmen, was da passiert. Und davon macht er Gebrauch.“

            Ganz so einfach ist es dann auch nicht.
            Tatsächlich wäre auch mein erster Ansatzpunkt § 42 Abs. 2 BDSG. Entscheidend ist danach, ob die Verantwortlichen (und das müssen nicht die Entwickler:innen sein) für den Zugriff auf sämtliche, oben beschriebenen Daten der Nutzer:innen die erforderliche Berechtigung haben. „Eine Verarbeitung (Art. 4 Nr. 2 DS-GVO) ohne Berechtigung liegt dann vor, wenn für die Verarbeitung kein datenschutzrechtlicher Erlaubnistatbestand gegeben ist“. (Gola/Heckmann/Ehmann, 3. Aufl. 2022, BDSG § 42 Rn. 18-27). Der Erlaubnistatbestand findet sich in Art. 6 DS-GVO und ist nach Abs. 1 a gegeben, wenn eine wirksame Einwilligung vorliegt. Müsste man sich im Einzelfall ansehen, aber es darf bezweifelt werden, dass eine Erlaubnis (per einfachem Klick) umfassend Daten abzusaugen wirksam wäre.
            Liegt keine wirksame Erlaubnis vor, dann kann eine Verarbeitung noch beispielsweise zur >Erfüllung des Vertragssofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.gegen Entgeltin Bereicherungsabsichtjede in einem Vermögensvorteil bestehende Gegenleistung<. Ob die Gegenleistung auch tatsächlich erbracht wurde, ist ohne Belang. Falls man das verneint bleibt noch die Bereicherungsabsicht: "Eine Bereicherung liegt immer dann vor, wenn der Täter sich oder einem anderen vorsätzlich einen unmittelbaren oder mittelbaren Vermögensvorteil tatsächlich verschafft hat. Dabei muss der Vermögensvorteil nicht notwendigerweise rechtswidriger Natur sein." (Gola/Heckmann/Ehmann, 3. Aufl. 2022, BDSG § 42 Rn. 18-27). Beide Varianten dürften bei einer Vielzahl der betroffenen Apps gegeben sein.

            „Ehe irgendein Straftatbestand zum tragen kommt, muß ganz viel Wasser abwärts fließen.“

            Wer wird denn gleich so schnell aufgeben: Ein Strafantrag würde in vielen Fällen durchaus ein Ermittlungsverfahren gegen die Verantwortlichen in Gang setzten. Eine Garantie für eine Bestrafung gibt es nicht und muss mE auch nicht immer angestrebt werden. Wichtiger finde ich, die bestehenden Strafvorschriften auch mal zu nutzen. Bisher werden sie sogar von den Datenschutzbehörden immer wieder „übersehen“ und man konzentriert sich auf die Ordnungswidrigkeiten. Es gibt dann „nur“ Bußgelder für das Unternehmen. Wären sich die Verantwortlichen des Risikos eines Strafverfahrens gegen sich selbst mehr bewusst, wäre der „Erziehungseffekt“ sicher wirkungsvoller.

  2. > Als Zweites hat Altpeter geprüft, welche Daten die Apps tatsächlich übertragen. Zu den Arten von untersuchten Tracking-Daten gehörten unter anderem Telefonnummer, E-Mail-Adresse, Ort, Geräte-ID und Kontakte. <

    Das erinnert mich wieder an die Dubliner Studien von Prof. D. Leith:

    1.
    https://www.scss.tcd.ie/doug.leith/apple_google.pdf
    (25. März 2021)

    "[…] Sowohl iOS als auch Google Android übermitteln Telemetriedaten, obwohl der der Nutzer dies ausdrücklich ablehnt.
    […]
    Wenn eine SIM-Karte eingelegt wird, senden sowohl iOS und Google Android Details an Apple/Google. iOS sendet die MAC-Adressen von Geräten in der Nähe, z. B. von anderen Handys und dem Home-Gateway, zusammen mit ihrem GPS-Standort an Apple.
    Wenn überhaupt, gibt es derzeit nur wenige realistische
    Möglichkeiten, diese Datenweitergabe zu verhindern.
    […]"

    2.
    https://www.scss.tcd.ie/Doug.Leith/Android_privacy_report.pdf
    (6. Oktober 2021)
    "[…]
    Wir nehmen eine eingehende Analyse der Daten vor, die von sechs Varianten des des Android-Betriebssystems,nämlich die von Samsung, Xiaomi, Huawei, Realme, LineageOS und /e/OS.

    Wir stellen fest, dass selbst bei minimaler Konfiguration und das Gerät im Leerlauf ist: [Dann] übertragen diese Android-Varianten erhebliche Mengen an Informationen an den Betriebssystementwickler und auch an Dritte (Google, Microsoft, LinkedIn, Facebook usw.), die System-Apps vorinstalliert haben.

    Während eine gelegentliche Kommunikation mit OS-Servern zu erwarten ist, geht die beobachtete Datenübertragung weit darüber hinaus und wirft eine Reihe von Datenschutzbedenken auf.

    Es gibt kein Opt-out aus dieser Datenerfassung.
    […]"

    Damals hat es niemanden wirklich interessiert.

  3. „das mittlerweile nicht mehr aktive Infoportal mobilsicher“

    Das Portal funktioniert – muss ein Textfehler im Artikel sein.

    Ansonsten lässt insbesondere die Altpeter-Arbeit nur einen einzigen Schluß zu: sich von diesen Geräte soweit wie möglich fernhalten oder alternative Systeme wie Graphene OS oder gleichwertige zu benutzen.

  4. Was nützt es mir, wenn ich weiß, dass eine Website oder App meine personenbezogenen Daten widerrechtlich sammelt, übermittelt und verarbeitet? Denn dann starte ich doch eine Beschwerde bei dem zuständigen Landesdatenschutzbeauftragten. Und der macht dann: NICHTS!
    Ich habe schon im September 2019 eine Beschwerde über ein Unternehmen bei der Landesdatenschutzbeauftragten NRW eingereicht und bis heute trotz etlicher Erinnerungen noch nicht einmal eine vorläufige Bewertung meiner Beschwerde erhalten. Anscheinend will man das Thema so lange verschleppen, bis ich aufgebe. Mittlerweile habe ich hierzu rund 15 Schreiben an Mitglieder der NRW-Landesregierung und des NRW-Landtags geschrieben. Denn wenn das Arbeitsaufkommen der Landesdatenschutzbeauftragten knapp fünfeinhalb Mal so stark steigt wie Mitarbeiter-Zahl oder finanzielle Ausstattung im gleichen Zeitraum, dann gibt es ja offensichtlich ein strukturelles Problem. Wenn man überhaupt eine Antwort aus der Politik bekommt, wird man daran erinnert, dass die Landesdatenschutzbeauftragte unabhängig sei, so dass man leider nicht weiterhelfen könne, und dass sie im übrigen immer die finanziellen Mittel genehmigt bekommen hätte, die sie beantragt hatte. Wenn man dann die Landesdatenschutzbeauftragte anschreibt, warum sie nicht einfach mehr finanzielle Mittel beantragt, erhält man tatsächlich als Antwort, dass die gewünschte Information „nicht im informationsrechtlichen Sinne vorhanden“ sei und man daher keinen Anspruch darauf hätte, „dass Informationen […] erstmalig hergestellt werden.“
    Wenn gesetzliche Vorgaben nicht durchgesetzt werden, werden sie auch nicht befolgt. Das gesamte System ist eine lächerliche Schmierenkomödie. Jeder, der sein Recht auf Datenschutz auf diesem Weg durchsetzen will, den lässt man sich in einer völlig kafkaesken Verwaltung totlaufen. Und das machen die, wenn es sein muss, jahrelang so.

    1. „Ich habe schon im September 2019 eine Beschwerde über ein Unternehmen bei der Landesdatenschutzbeauftragten NRW eingereicht“

      Auch hier könnten Problemchen greifen…
      – Nur viele Meldungen führen zu etwas.
      – Einzelne Meldungen (bis zu vielen) werden gefaked, um Unternehmen zu schaden.

      Da gehört, ähnlich wie beim Kartellrecht, mindestens eine Stichprobenbehörde hin, die vielleicht auch mal domänenübergreifend Stichprobentests veranstaltet. Einfach damit es jeden erwischen kann.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.