• Businessman in suit, jacket,shirt, tie, using his smart phone
    Bestimmte Apps für Android-Smartphones leiten Daten ungefragt an Facebook weiter.  (Marko_Marcello)

«Ergebnisse sind etwas besorgniserregend»

Eine Studie hat 34 Android-Apps auf widerrechtliche Weiterleitung von Nutzerdaten an Facebook untersucht. 21 Mal fiel der Test positiv aus. Mit Unwissenheit hat das für Liechtensteins oberster Datenschützerin Marie-Louise Gächter allenfalls vereinzelt zu tun.

Die seit dem 25. Mai 2018 gültige Datenschutzgrundverordnung (DSGVO) soll entscheidend dazu beitragen, das Sicherheitsniveau für persönliche Daten europäischer Bürger auf ein neues Niveau zu heben. Doch längst nicht immer spielen die, welche die Verordnung in die Pflicht nimmt, auch mit. Eine kürzlich publizierte Studie von Privacy International zeigt das einmal mehr auf. Von 34 zwischen August und Dezember 2018 analysierten Android-Apps leiteten 21 Nutzerdaten an Facebook weiter, ohne bei den Personen, wie von der DSGVO vorgeschrieben, zuvor eine Einwilligung eingeholt zu haben – darunter populäre Dienste wie Shazam, Spotify oder Tripadvisor.

Gemäss Privacy International waren Nutzer mit und ohne Facebook-Account gleichermassen von den Verstössen gegen die DSGVO-Bestimmungen betroffen. Entscheidend für die ungefragte Datenweitergabe war, dass die App-Entwickler auf das Software Development Kit (SDK) von Facebook zurückgriffen. Dessen Standardkonfiguration bewirkte eine automatische Weiterleitung – sowohl an den App-Anbieter als auch an Facebook.

App-Anbieter verfolgen ihre eigenen Interessen

Marie-Louise Gächter, Datenschutzbeauftragte des Fürstentums Liechtenstein, zeigt sich ob solcher Einsichten verständlicherweise alarmiert. «Die Ergebnisse sind tatsächlich etwas besorgniserregend. Vor allem, weil die betroffenen Personen in den meisten Fällen gar keine Information zur Weitergabe erhalten haben und einer solchen daher weder zustimmen noch sie ablehnen konnten», sagt sie.

Bei einigen – vor allem kleineren– App-Entwicklern kann sich die Datenschutzexpertin durchaus ein fehlendes Problembewusstsein als Ursache für die geschilderten Widerhandlungen gegen die DSGVO vorstellen. Doch es gäbe auch jene, welche die Datenschutzgrundverordnung nicht ernst nähmen oder gar bewusst ignorierten. «Vorwiegender Grund dürfte das eigene Interesse der App-Entwickler sein, auf das sie einzig und alleine schauen: Mit der Facebook SDK können sie erfahren, wie die Nutzer auf ihre App reagieren, welcher Bereich am meisten oder am wenigsten genutzt wird und so weiter. Somit können sie ihre App den Nutzerinteressen optimal anpassen.»

Doch was, mag man sich angesichts eines solchen Gebarens fragen, ist die Datenschutzgrundverordnung dann wert? In den Augen von Marie-Louise Gächter unverändert sehr viel. «Die DSGVO», führt sie aus, «bringt in diesem Fall den klaren Mehrwert, dass man das Vorgehen der App-Entwickler eindeutig als Verletzung der Bestimmung der Art. 5, 6 und 13 DSGVO qualifizieren kann – und das für den gesamten EWR-Raum einheitlich.» Allerdings, das weiss auch Gächter, wird der Punkt kommen, an welchem die Glaubwürdigkeit der DSGVO auf dem Prüfstand steht. Und zwar in dem Moment, «in dem betroffene Personen die Verletzung geltend machen werden». Dann, betont sie, obliege es den zuständigen Aufsichtsbehörden und/oder Gerichten, den Betroffenen zu ihrem Recht zu verhelfen und die von der DSGVO den Verantwortlichen auferlegten Pflichten durchzusetzen.

Beschwerden werden gegebenenfalls weitergeleitet

Liechtensteiner Bürger können sich mit einer Beschwerde grundsätzlich an die nationale Datenschutzstelle wenden. Allerdings könnte diese nur gegen einen App-Entwickler vorgehen, der seinen Hauptsitz in Liechtenstein hat, wie Gächter anmerkt. «Bei einer Niederlassung in einem anderen EU/EWR-Staat müsste der europäische Weg eingeschlagen werden und die Datenschutzstelle die Beschwerde an die federführende Behörde am Hauptsitz des App-Entwicklers weiterleiten.» Die Problematik, dass sich der Sitz eines Verantwortlichen in einem Drittstaat befindet, dürfte nach Gächters Dafürhalten nicht regelmässig auftreten. «So gut wie alle grossen Entwickler beziehungsweise Apps, die in der Studie kritisiert werden und an denen Facebook grosses Interesse hat, haben auch eine Niederlassung in der EU.»

Hauptverantwortung liegt bei App-Entwicklern

Gut möglich, dass tatsächlich erst einige empfindliche Geldstrafen verhängt werden müssen, ehe bei fehlbaren Anbietern flächendeckend ein Umdenken einsetzt. Bislang jedenfalls zeigten App-Entwickler «wenig Problembewusstsein», meint Gächter – «bis auf einige Ausnahmen, die als Reaktion auf die gegenständliche und ähnliche Studien ein Update veröffentlichten, das die Weiterleitung der Daten an Facebook verhindert».

Dabei ist es in ihren Augen unstrittig, dass in erster Linie sie gefordert wären. Facebook, sagt Gächter, sei zwar vorzuwerfen, dass die Voreinstellungen des SDK nicht so gewählt seien, dass eine automatische Datenweitergabe verhindert werde. Ausserdem sei ein Update, das der Konzern im Juni 2018 entwickelt habe und Entwicklern die Möglichkeit gebe, die Datenweitergabe bis zur Einwilligung des Nutzers hinauszuzögern, nur bei neueren SDK-Versionen wirksam. «Die Hauptverantwortung liegt aber bei den App-Entwicklern. Denn sie nehmen mit der Verwendung der Facebook SDK ohne Information der Betroffenen bewusst in Kauf, dass ein rechtswidriger Datentransfer an Facebook stattfindet.»

Solange Transparenz im Sinne der DSGVO nicht hergestellt ist, sind App-Nutzer in aller Regel aufgeschmissen. «Das Grundproblem ist, dass es für Anwender kaum Möglichkeiten gibt, zu erkennen, ob die jeweiligen Apps mit Facebook kommunizieren. Wenn dies nicht in der Datenschutzerklärung erwähnt ist, kann ein privater Nutzer kaum herausfinden, ob eine App das Facebook SDK eingebaut hat», sagt Gächter. Auch das Abschalten personalisierter Werbung, wie es Facebook anregt, hilft laut der Datenschutzexpertin nur eingeschränkt. Im Hintergrund, moniert sie, laufe der Transfer weiter und es entstehe ein umfassendes Interessenprofil. «In dem Moment, in dem der Nutzer die Werbung wieder zulässt, wird das Profil aktiviert.» Im Zweifel, so scheint es, vermag derzeit nur die Radikal-Methode Sicherheit zu garantieren: fragliche Apps löschen. (bo)

12. Jan 2019 / 17:00
Geteilt: x
KOMMENTARE

Schreiben Sie den ersten Kommentar!

KOMMENTAR HINZUFÜGEN

Überschrift (max. 70 Zeichen)
Meine Meinung (Noch  Zeichen verfügbar)
UMFRAGE DER WOCHE
Lade TED
Ted wird geladen, bitte warten...

Wettbewerb
hierbeimir_Logo_basic
Zu gewinnen ein Gutschein im Wert von 20 Franken von hierbeimir
13.05.2019
Facebook
Top