Unerlaubtes Werbe-TrackingApple kassiert Datenschutz-Bußgeld in Millionenhöhe

Eine Datenschutzstrafe gegen Apple lässt aufhorchen. Der wertvollste Konzern der Welt vermarktet sich gerne als Privacy Champion unter den Big-Tech-Unternehmen. Dabei mischt er längst im Geschäft mit Daten und Werbung mit.

Eine Person mit kurzen, schwarzen lockigen Haaren in blauem Hemd hält ein graues iPhone in die Kamera. Davor der Schriftzug: "Privacy. That's iPhone."
Apple vermarktet sich selbst gerne als Privacy-Champion (Screenshot aus einem Werbespot von 2022) – Alle Rechte vorbehalten Apple

Apple soll eine Datenschutzstrafe in Höhe von acht Millionen Euro zahlen, weil es das Verhalten von iPhone-Nutzer:innen im App-Store ohne Einwilligung getrackt hat. Das teilte Anfang Januar die französische Datenschutzbehörde CNIL mit, die die Strafe verhängt hat.

Die Aufsichtsbehörde hatte nach mehreren Beschwerden Apples Tracking-Praxis untersucht. In dem nun abgeschlossenen Verfahren geht es um Nutzer:innen mit dem Betriebssystem iOS 14.6. Wenn diese den App Store aufgerufen haben, speicherte Apple laut CNIL eindeutige Identifier auf ihren Geräten, um dieser wiedererkennen und ihr Verhalten analysieren zu können. Das nutzte der Konzern unter anderem für die Personalisierung von Werbung im App Store.

Hierzu wäre nach europäischem Datenschutzrecht, in diesem Fall der ePrivacy-Richtlinie nach, eine explizite Einwilligung notwendig gewesen. Inzwischen holt Apple diese Einwilligung vor dem Werbe-Tracking ein.

Der Konzern zeigt sich trotzdem verärgert über die Strafe und kündigte gegenüber dem US-Magazin Gizmodo an, das Bußgeld anzufechten: „Wir gehen mit Apple Search Ads weiter als jede uns bekannte digitale Werbeplattform, indem wir Nutzer:innen eine klare Wahl geben, ob sie personalisierte Werbung wollen oder nicht.“

Apple will Werbemarkt aufmischen

Das Bußgeld fällt mit acht Millionen Euro verhältnismäßig gering aus. Nicht nur im Vergleich zu Apples Milliardenumsätzen, sondern auch zu den Bußgeldern, die sich andere Tech-Konzerne aus den USA in der jüngeren Vergangenheit eingefangen haben. Allein Meta soll für unterschiedliche DSGVO-Verstöße insgesamt über eine Milliarde Euro Strafe zahlen.

Das Vorgehen der Datenschutzbehörde gegen den selbsternannten Privacy-Champion unter den Big-Tech-Konzernen ist allerdings als Anzeichen größerer tektonischer Verschiebung in der Welt der Online-Werbung zu sehen. Dazu gehört, dass das wertvollste Unternehmen der Welt – Marktwert zwei Billionen Dollar – mehr und mehr im Ad-Tech-Geschäft mitmischt. Während Apple sein Geld bislang überwiegend mit Hardware und Plattformen wie iTunes oder dem App Store verdiente, wachsen seine Werbeeinnahmen stetig.

Im Jahr 2022 machte Apple laut Gizmodo schätzungsweise bereits einen Umsatz von fünf Milliarden Euro mit Werbung. Der Konzern sucht zudem Personal für den Aufbau einer eigenen Werbeplatz-Handelsplattform und erwägt, künftig auch bei Apple TV Werbung zu verkaufen.

Die Einführung von Transparenzmaßnahmen beim App-Tracking durch Drittanbieter auf dem iPhone, die 2021 für Aufsehen sorgte, wird deshalb nicht nur als Schritt gesehen, Nutzer:innen mehr Kontrolle zu geben, sondern auch als Maßnahme gegen Konkurrenz auf dem Ad-Tech-Markt. Seit iPhone-Nutzer:innen bei der Installation neuer Programme prominent zur Entscheidung über Tracking durch Drittanbieter aufgefordert werden, soll allein Meta mehr als zehn Milliarden Dollar Umsatzeinbußen gehabt haben. Mehrere Verfahren bei Wettbewerbsbehörden sind deshalb anhängig.

Neuer Gatekeeper für das Ad-Tech-System

Auch darüber hinaus steht die Welt der Online-Werbung vor grundsätzlichen Veränderungen, für die Apple mitverantwortlich ist. Zum einen erklärten die europäischen Datenschutzbehörden das wichtigste Verfahren für Real-Time-Bidding für illegal. Zum anderen sägen Apple und Google schon seit längerem am bislang weit verbreiteten System der Third-Party-Tracking-Cookies. Geht es nach den beiden wichtigsten Anbietern von Browsern und Mobil-Betriebssystemen, sollen Daten über unser Online-Verhalten für die Personalisierung von Werbung nicht mehr von hunderten Firmen gesammelt und analysiert werden.

Stattdessen können Apple und Google ihre Dominanz nutzen, um zu konkurrenzlosen Instanzen für die Auswertung von Nutzer:innenverhalten zu werden. Der Londoner Tracking-Experte Michael Veale analysierte in einem Gastbeitrag auf netzpolitik.org, dass dies nicht nur die Marktmacht von Apple und Google stärken dürfte, sondern auch noch invasiverem Tracking den Weg ebnen könnte. Sie würden versuchen, „den Gravitationsschwerpunkt der Werbetechnik zu verlagern – vom Raum zwischen Websites, Apps und Drittanbieter-Servern auf den Raum zwischen Websites, Apps, Browsern und Betriebssystemen.“

Apple selbst verspricht, Datenschutz und personalisierte Werbung miteinander vereinen zu können. Das Bußgeld der französischen Aufsichtsbehörde spricht nun eine andere Sprache. Gizmodo berichtet zudem über mehrere Sammelklagen in den USA, weil der iPhone-Hersteller nach Recherchen des Magazins gegen weitere Datenschutzversprechen verstoßen haben soll. Es dürfte wohl nicht das letzte Mal gewesen sein, dass Apple auf dem Weg zum Ad-Tech-Unternehmen mit den Datenschutzbehörden in Konflikt gerät.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Apple wirkt alleine schon deshalb unglaubwürdig, weil:

    Wenn einer ein I-Phone im heimischen WLAN nutzt und ein zweiter loggt sich im gleichen WLAN ein, dann bekommt Apple dies mit und kann diesen anderen über den I-Phone-Besitzer erkennen. Das sagt alles…

  2. Hallo „Verstandsbrunnen“:
    DANKE!

    Z.B. Genau DAS steht (auch) in der verlinkten PDF.

    Zitatauszug (ich bitt ggf. die Übersetzung gegenzuprüfen) aus og. PDF:
    „[…]
    Sowohl iOS als auch Google Android übermitteln Telemetriedaten, obwohl der Nutzer dies ausdrücklich ablehnt. Wenn eine SIM-Karte eingelegt wird, senden sowohl iOS und Google Android Details an Apple/Google. iOS sendet die MAC-Adressen von Geräten in der Nähe, z. B. von anderen Handys und dem Home-Gateway, zusammen mit ihrem GPS-Standort an Apple.

    Wenn überhaupt, gibt es derzeit nur wenige realistische Möglichkeiten, diese Datenweitergabe zu verhindern.
    [….]
    Einige der vorinstallierten Apps/Dienste stellen ebenfalls Netzwerkverbindungen herzustellen, obwohl sie nie geöffnet geöffnet oder verwendet wurden. Dazu gehören unter iOS insbesondere Siri, Safari und iCloud, und auf Google Android sind dies die Youtube-App, Chrome, Google Docs, Safetyhub, Google Messaging, die Uhr und die Google-Suchleiste.

    Die Sammlung so vieler Daten durch Apple und Google gibt Anlass zu mindestens mindestens zwei große Bedenken:

    Erstens lassen sich diese Gerätedaten relativ leicht mit anderen Datenquellen verknüpfen, z. B. wenn sich ein Nutzer anmeldet (um den vorinstallierten App-Store zu nutzen), werden diese Gerätedaten mit seinen persönlichen Daten (Name, E-Mail, Kreditkarte usw.) und damit potenziell mit anderen Geräten des Nutzers verknüpft, Einkäufe, Web-Browsing-Verlauf und so weiter.

    Dieses ist kein hypothetisches Problem, da sowohl Apple als auch Google Zahlungsdienste betreiben, beliebte Webbrowser anbieten und kommerziell von Werbung profitieren.

    Zweitens: Jedes Mal, wenn ein mit einem Backend-Server verbindet, gibt es zwangsläufig die die IP-Adresse des Mobiltelefons, die einen groben Anhaltspunkt für den Standort darstellt.

    Die hohe Häufigkeit der Netzwerkverbindungen, die sowohl von iOS und Google Android (im Durchschnitt alle 4,5 Minuten) ermöglichen es Apple und Google daher potenziell, den Standort des Geräts im Laufe der Zeit [ziemlich genau nachzuvollziehen].

    Was die Abhilfemaßnahmen betrifft, so haben die Nutzer natürlich auch die Möglichkeit, Mobiltelefone zu verwenden, auf denen andere Betriebssysteme als iOS und Google Android, [laufen] z. B. /e/OS Android 4 .
    Aber wenn sie ein iPhone zu verwenden, haben sie offenbar keine Möglichkeiten die von uns beobachtete gemeinsame Datennutzung zu verhindern, d. h. sie können keine abwählen.
    […]“
    (Orginalquelle: https://www.scss.tcd.ie/doug.leith/apple_google.pdf
    ebd. S. 1 und 2 auszugsweise.)

    Was in mir bereits seit Jahren Bedenken auslöst:
    Gerade Behörden/ Ämter nutzen sehr oft iOS-Geräte als mobile Dienstgeräte.

    1. > Gerade Behörden/ Ämter nutzen sehr oft iOS-Geräte als mobile Dienstgeräte.

      Das BSI hat vor kurzem die Sicherheitseigenschaften von iOS und iPadOS bestätigt:

      https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/221005_Apple_Sicherheitsfunktionen.html

      Darauf können sich Behörden und Ämter jetzt berufen, wenn diese Entscheidung in Frage gestellt wird.

      Leider unterliegen die Details der Prüfung einem NDA mit Apple, so dass das BSI keinerlei weitere Informationen dazu veröffentlichen darf.

      1. Danke für den Link zu

        https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/221005_Apple_Sicherheitsfunktionen.html

        Zitat daraus:
        „Dazu sind Vorgaben des BSI hinsichtlich des Nutzerverhaltens, der sicheren Anbindung an Infrastrukturen durch ein Virtual Private Network (VPN) und der Verwendung eines Mobile Device Management Systems (MDM) einzuhalten.“

        Und über ein VPN und mit einem MDM arbeiten nur die großen Organisationen.
        Einzelne Personen nicht.

        Meine ganz persönliche Meinung – bitte ggf. korrigieren:
        Die Telemetrieübertragungen (s.o: Studie Prof. Leith) laufen trotzdem – könnten aber ggf. über ein VPN gefiltert werden.
        Sofern ein entsprechender tiefer Eingriff in das iOS bzw. in die jeweiligen Apps möglich ist, welches Google/ Apple sicherlich zu verhindern weiß.

        Ich selbst vertraue keinem Standard-Smartphone (Android/ iOS), welches Internetzugriff hat. Es sei denn, die Backend-Server stehen im Geltungsbereich der DSGVO (also in Europa).

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.