Wer auf einer Plattform arbeitet, für den ist die App dieser Plattform extrem wichtig. Aufträge und Anweisungen kommen per Handy-Meldung – aber wie sie erteilt werden, bleibt für die Arbeiter:innen oft undurchsichtig. Wie funktionieren die Apps? Welche Daten benutzen sie, um ihre Entscheidungen zu treffen?
Damit beschäftigt sich eine Gruppe rund um den Programmierer und Aktivisten Claudio Agosti seit mehreren Jahren. Das Ergebnis ihrer Untersuchung haben sie heute in einem Bericht beim Europäischen Gewerkschaftsinstitut (ETUI) veröffentlicht. Gleichzeitig gründen sie reversing.works – eine neue Organisation, die sich weiter mit ähnlichen Fällen beschäftigen will.
Für den heute veröffentlichten Bericht untersuchten die Forschenden die App von Glovo, einen aus Spanien stammenden Essenslieferdienst. Dabei fanden sie heraus, dass dessen App auch außerhalb von Arbeitszeiten den Standort von Arbeiter:innen an das Unternehmen sendet – und dass sie nicht nur mit Glovo kommuniziert, sondern auch Daten an Dritte sendet, darunter ein Marketingunternehmen.
Forschende brauchen Vertrauen
Als ersten Schritt für ihre Analyse brauchten die Forscher:innen Einsicht in die Glovo-App. Das war der aufwendigste Teil des gesamten Projekts, erzählt Claudio Agosti im Gespräch mit netzpolitik.org. In langen Gesprächen erklärten die Forschenden den Arbeiter:innen ihre Absichten und bauten Vertrauen auf.
Hier liegt ein wichtiges Argument dafür, dass Expert:innen und Gewerkschaften für solche Untersuchungen zusammenarbeiten, argumentiert der Bericht. Denn Gewerkschaften haben Verbindungen zu Arbeiter:innen, die ihnen bereits vertrauen und deshalb vielleicht auch eher an Untersuchungen teilnehmen würden. Wenn die Ziele von Expert:innen und Arbeitenden aufeinander abgestimmt werden, würden beide profitieren, argumentiert der Bericht.
Datenanalyse von außen
Die Forschungsgruppe um Agosti konnte nun die App auf einem Testgerät installieren. Sie konnten außerdem sehen, dass die App stündlich verfügbare Lieferangebote anzeigte – auch, wenn die Fahrer:innen sich nicht für eine Dienstschicht angemeldet hatten. Sie untersuchten deshalb, ob die App außerhalb der Arbeitszeiten nicht nur Informationen lieferte, sondern auch Daten an Glovo übermittelte.
Auch wenn die Forschenden die App anschauen konnten, sahen sie zunächst nur die normale Benutzeroberfläche für Fahrer:innen – die keine Informationen über gesammelte Daten anzeigte. Um die Funktionsweise der App zu untersuchen, benutzten die Forscher:innen deshalb eine passive „Black Box“-Methode: Über ein speziell konfiguriertes Netzwerk konnten sie den Internetverkehr zwischen App und Glovo-Servern in beide Richtungen analysieren. Damit konnten sie untersuchen, welche Daten die App verarbeitete, ohne Zugriff auf deren inneren Ablauf zu haben oder sie zu verändern.
Daten floßen an Marketingunternehmen
Das Ergebnis dieser Untersuchung: Jedes Mal, wenn die Glovo-App geöffnet wurde, schickte sie Daten an die Glovo-Server – darunter den Standort des Handys mit einer Genauigkeit von zehn bis zwanzig Metern. Außerdem wurden die Daten auch gesammelt, wenn die App nur im Hintergrund lief – besonders zwischen Mitternacht und sechs Uhr morgens. Den Grund für diese Sammlungen konnten die Forscher:innen nicht erkennen.
Die App teilte Daten nicht nur mit den Servern von Glovo, sondern auch mit anderen Unternehmen. Dazu gehörte ein Google-Dienst, der ausführliche Informationen inklusive der Glovo-Bewertung für den Arbeiter erhielt, verknüpft mit dessen E-Mail-Adresse. Ein US-amerikanisches Marketingunternehmen bekam Daten, die mit einer ID gekoppelt waren. „Wir fanden es besonders problematisch, dass ein Marketingunternehmen so ausführliche Daten über den Rider erhalten hat, weil die Daten kein Kund:innenverhalten betreffen, sondern Arbeiter:innenverhalten“, schreiben die Forschenden: „Das trägt zum weiteren Verwischen der Linie zwischen Kundin und Arbeiterin bei, oder allgemeiner zwischen Privatleben und Arbeit.“
Insgesamt habe Glovo mit dem Design seiner App die Rechte seiner Arbeiter:innen missachtet, heißt es in dem Bericht. „Wir schlagen vor, dass App-Updates den Umfang des Standort-Trackings auf Arbeitszeiten begrenzen und dass das Teilen von personenbezogenen und Standort-Daten mit Drittparteien beendet werden sollte.“
Nur möglich mit gegenseitiger Unterstützung
Die Erkenntnisse aus ihrem Analyse gaben die Forscher:innen an die italienische Datenschutzbehörde weiter – denn die Erkenntnisse allein bringen den Arbeiter:innen nichts. Stattdessen braucht es auch hier eine Zusammenarbeit zwischen Expert:innen, Gewerkschaften und Datenschutzbehörden, heißt es in dem Bericht. Der Fall zeige, dass so mögliche Gesetzesverletzungen aufgedeckt werden könnten.
Dafür müssten sich allerdings die Behörden auch dafür interessieren, Datenschutz in der Arbeitswelt durchzusetzen, sagte Joanna Bronowicka zu netzpolitik.org. Sie forscht an der Europa-Universität Viadrina zu Plattformarbeit und ist eine der Mitautorinnen des Berichts. Momentan würden sich die Behörden oft noch nicht um Datenschutzverletzungen bei der Arbeit scheren, sagte sie.
Sie hebt ein Positivbeispiel in einem anderen Fall hervor, wo die italienische Datenschutzbehörde auf eigene Initiative sogar das dortige Büro von Glovo unangekündigt durchsuchte – und letztlich eine Millionenstrafe gegen das Unternehmen verhängte. Außerdem hatten dabei spanische und italienische Behörden zusammengearbeitet, was noch viel zu selten der Fall sei. Das brauche es aber, meint sie, denn die Unternehmen sind schließlich international aktiv.
Dass dieses Modell funktionieren kann, zeigt auch ein Verfahren in den Niederlanden: Zusammen mit der Worker Info Exchange, einer Gruppe von Datenexpert:innen, hatte die Gewerkschaft App Drivers & Couriers Union das Taxiunternehmen Uber verklagt, weil Fahrer:innen Rechte nach der Datenschutzgrundverordnung verweigert worden waren. Das Gericht urteilte, dass das Unternehmen die Fahrer:innen ohne wirkliche menschliche Beteiligungen entlassen und nicht genug darüber informiert hatte, wie es ihre Daten verarbeitete. Vergangene Woche bestätigte ein Berufungsgericht das Urteil und erlegte Uber tägliche Strafzahlungen auf, bis die Missstände beseitigt werden.
0 Ergänzungen
Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.