DSGVO & Apps: Wo stecken die Datenschutz-Risiken?
Datenschutz bei manchen Apps Fehlanzeige
Der Security-Anbieter Bullguard hat verschiedene Apps untersucht. Dabei sind ihm einige Spionage-Apps untergekommen, die Nutzerdaten sammeln könnten. Und das ohne Einwilligung und Wissen der Betroffenen.
Zu diesen Nutzerdaten gehörden unter anderem die folgenden:
- IP-Adresse: Sie identifiziert eindeutig Sender und Empfänger von Datenpaketen im Internet, ähnlich einer Postadresse. Sie verrät Informationen über den Internetanbieter und den Standort des Rechners. Der Internetanbieter wiederum kann über die IP-Adresse den Datenstrom seiner Kunden nachverfolgen.
- Online-Suchen nach bestimmten Produkten oder Themen: Sie werden gespeichert und mit dem Nutzerprofil in Verbindung gebracht.
- Tracker von Drittanbietern: Sie sind auch in Apps enthalten. Die Mehrheit der sogenannten App-Analytics-Unternehmen verwendet Tracking für gezielte Werbung, Verhaltens-Analysen und Standort-Tracking.
- Account oder Profil mit persönlichen Informationen: Diese Daten fordern manche Anbieter, bevor Kunden ihren Service nutzen oder Inhalte sehen können.
- Persönlichkeitstests, Spiele, Umfragen und Preise: Sie versprechen meist Gewinne und greifen im Gegenzug persönliche Daten ab.
- Datenanalysen durch Drittanbieter: Solche Datenanalysen geben sowohl Online- oder auch stationäre Händler in Auftrag. Sie optimieren damit ihre Werbe-Aktivitäten. Dafür geben sie ihre gesammelten Kundendaten an diese Datenanalysten weiter.
Bullguard nennt darüber hinaus Beispiele dafür, was passieren könnte, wenn die Anbieter die Daten nutzen:
- Wer des Öfteren teure Hotels oder Flüge gebucht hat, bekommt künftig bei der Online-Buchung immer einen höheren Preis angezeigt als Kunden ohne Buchungshistorie.
- Urlaubsportale zeigen Nutzern mit Apple-Rechner höhere Preise an als denen mit Windows-PC.
- Die Online-Recherche nach bestimmten Krankheiten wie Herzstörungen oder Diabetes fließt in die Risikobewertung von Versicherungs-Unternehmen ein.
- Kunden von Kredit-Instituten zahlen höhere Zinsen, wenn die Institute sie aufgrund ihrer Online-Historie als „risikoreich“ einstufen.
Viele Datenschutz-Lücken in Apps
Das Pradeo Lab hat einen Sicherheitsbericht über die 38 weltweit am häufigsten heruntergeladenen Einkaufsanwendungen veröffentlicht.
Der Bericht zeigt, dass die Shopping-Apps die persönlichen Daten der Benutzer über zahlreiche unsichere Verbindungen versenden. Darüber hinaus weisen sie durchschnittlich 13 Schwachstellen pro App auf, darunter einige sehr schwerwiegende.
Die Studie zeigt, dass Shopping-Apps Standort-Informationen (66 %), Kontaktlisten (58 %), Audio- und Videoaufzeichnungen (47 %) sowie Anrufprotokolle (13 %) der Nutzer ansammeln und diese über die Netzwerke weiter versenden.
Zu den Datenrisiken von Apps, die gegen die Grundsätze der Verarbeitung und die Vorgaben zur Sicherheit der Verarbeitung nach Datenschutz-Grundverordnung (DSGVO) verstoßen, gehören somit:
- persönliche Daten, die die Apps heimlich über das Internet übertragen
- Geräte-Informationen, die sie über das Netzwerk übertragen
- ungeschützte Verbindungen
- Sicherheitslücken im Code und in eingebetteten Bibliotheken von Drittanbietern
Privacy by Design bei Apps
Bei den so beliebten mobilen Apps ist es nicht sinnvoll, sie einfach komplett zu verbieten. Vielmehr sind die App-Entwickler gefragt, die Vorgaben zu Privacy by Design und Privacy by Default umzusetzen.
Dazu gehört ein weiterer wichtiger Punkt, der vorhanden sein muss: die rechtlich geforderte Datenschutzerklärung.
Die AVARE-App
Aber was tun, wenn eine bestimmte App gegen den Datenschutz verstößt, ich sie aber haben möchte?
Hier gilt: Entweder tatsächlich verzichten. Oder nach Alternativen Ausschau halten, die dem Datenschutz entsprechen. Denn solche Alternativen gibt es durchaus:
Forscherinnen und Forscher des Karlsruher Instituts für Technologie (KIT) und des FZI Forschungszentrums Informatik, einem Innovationspartner des KIT, haben eine App entwickelt, die die eigenen Daten besser schützt.
Diese Datenschutz-App erlaubt es, beliebte, aber informationshungrige Anwendungen uneingeschränkt zu nutzen.
So funktioniert die AVARE-App
Bislang war es nötig, die Berechtigungen jeder einzelnen App auf dem Smartphone von Hand zu ändern, um zu verhindern, dass Daten ungewollt abfließen. Sofern das überhaupt möglich war, weil die betreffende App dann gestreikt hat. Nun genügen dafür wenige Klicks.
Das Programm AVARE lässt sich auf Android-Geräten wie eine App installieren und erzeugt dort einen abgeschlossenen Bereich. In diesen Bereich kann der Nutzer andere Apps einpacken.
Er kontrolliert dann die gesamte Kommunikation zwischen diesen Apps und dem Betriebssystem.
Versucht eine in AVARE eingepackte App, etwa auf die Kontakte im Adressbuch zuzugreifen, ermöglicht AVARE es dem Nutzer, nur einzelne Kontakte freizugeben und die Freigabe beispielsweise auf Mobilfunknummer, Vor- und Nachname zu beschränken.
Darüber hinaus kann AVARE die Genauigkeit der Ortsangabe vermindern und auf einen Radius von mehreren Kilometern ausdehnen. So kann zum Beispiel eine Wetter-App weiterhin verlässliche Voraussagen geben, ohne den Standort des Nutzers gebäudegenau zu erfassen.
Der AVARE-Code ist als Open-Source-Software verfügbar unter www.avare.app. Wie die App genau funktioniert, erklärt auf der genannten Seite ein nettes Video.
Apps liefern Umsatz und Daten
Warum mehr Datenschutz bei Apps so wichtig ist, zeigt zum Beispiel eine Meldung des Digitalverbands Bitkom. Danach ist der deutsche App-Markt weiter auf Rekordkurs. 2018 tätigten Nutzer in Deutschland erstmals mehr als 2 Milliarden Downloads in den beiden größten App-Stores.
Rund zwei Drittel (67 %; 1,4 Milliarden Downloads) entfielen dabei auf den Play Store von Google. Ein Drittel (33 %; 704 Millionen Downloads) auf den App Store von Apple.
Im vergangenen Jahr setzten die Anbieter außerdem erstmals 1,6 Milliarden Euro mit mobilen Anwendungen für Smartphones oder Tablets um. Das ist fast eine Verdreifachung im Vergleich zu 2013, als der Umsatz bei 547 Millionen Euro lag.
Ohne Apps wüssten viele Menschen nicht mehr, wie das Wetter wird, wie ihr Kontostand lautet, wo der nächste Stau wartet oder wie sich ihr Lieblingsverein gerade schlägt, erklärt Bitkom.
Tatsächlich sind die Funktionen mobiler Apps für Smartphones und Tablets sehr vielfältig. Sie leisten Aufgaben von Wecker, Taschenlampe, Fotoapparat, Videokamera, Uhr, Notizbuch, Kalender, Navigationsgerät, MP3-Player, Fernsehempfänger, Babyphone, Fernsteuerung oder Geldbörse, um einige Beispiele zu nennen.
Dass mit diesen Funktionen und Aufgaben personenbezogene Daten verbunden sind, steht außer Frage.
Das ist auch ein Grund, warum sich für die Anbieter kostenlose Apps lohnen können: Mit den Daten der Nutzer lässt sich etwa die Werbung anpassen und optimieren.