Handy-Einrichtungs-Service mit fragwürdigem Datenschutz

Handy-Einrichtungs-Service mit fragwürdigem Datenschutz

Wissen | Hintergrund

Bild: MediaMarktSaturn

Wer bei Media Markt oder Saturn ein Smartphone kauft, kann es gegen Gebühr vor Ort einrichten lassen. Der sorglose Umgang mit sensiblen Daten ist jedoch bedenklich.

Wer auf ein neues Handy umsteigt, will in der Regel Chats, Fotos, Kontakte und andere Informationen vom alten Gerät mitnehmen. Für Android- und iOS-Kenner ist der Umzug keine große Herausforderung, doch viele Käufer sind damit überfordert oder haben wenig Lust dazu.

Es ist also kein Wunder, dass MediaMarktSaturn in seinen Filialen einen Umzugsservice anbietet. Der Konzern verspricht die Einrichtung eines Google- oder iOS-Kontos, die Installation von Updates und den Datentransfer vom alten Gerät aufs neue, inklusive Bildern, Videos und Kontakten. Bei Saturn heißt die 39 Euro teure Dienstleistung „Ready2Go“, bei MediaMarkt „Startklar“. Wir wollten herausfinden, wie gut das funktioniert – und wie dabei sensible Inhalte wie Passwörter vor Missbrauch geschützt werden.

Für unseren Versuch präparierten wir ein Android-Handy mit Testdaten, gingen in eine Saturn-Filiale und gaben uns als normaler Kunde aus. An einem Pult in der Handyabteilung trafen wir den Umzugsexperten, einen Mitarbeiter der MediaMarktSaturn-Tochterfirma Tec Repair. Wie der Datentransfer denn konkret ablaufe, wollten wir wissen. Wir könnten ihm einen Zettel mit unserem Entsperrcode und Google-Passwort geben und dann eine Runde spazieren gehen, erklärte der Mann. Wir könnten auch dableiben, „dann dauert es aber länger“.

Also suchten wir uns ein neues Android-­Handy aus, buchten „Ready2Go“, bezahlten an der Kasse und kehrten zum Techniker zurück. Wir baten ihn, beim Transfer dabei sein und unsere Passwörter selbst eintippen zu dürfen. Kein Problem.

Wir entsperrten das alte Handy und drückten es dem Techniker in die Hand. Der legte ohne irgendwelche Erläuterungen los: Er öffnete WhatsApp und stieß ein Chat-Backup an. Dann aktivierte er in den Android-Einstellungen den USB-Debugging-Modus, der PCs umfassenden Zugriff auf das System gewährt. Auf dem neuen Handy ließ er uns in unser Google-Konto einloggen. Was er tat und warum, dazu sagte er kein Wort.

Nach den Vorbereitungen teilte er uns lediglich mit, dass er als nächstes die Daten übertragen werde. Wir könnten uns nun zehn Minuten lang im Markt umschauen. Und schon nahm er unsere beiden Geräte mit zu einem Schreibtisch, ein paar Meter hinter dem Tresen. Wir konnten nur noch sehen, dass er die Handys an einen Laptop stöpselte, aber nicht, was genau passierte.

Nach Abschluss des Transfers stellten wir dem Mitarbeiter noch ein paar Fragen: Mit was für einer Software die Daten übertragen wurden? Das sei ein speziell für seine Firma entwickeltes Programm. Ob die Daten jetzt noch auf dem Laptop lägen? Nein, es werde nichts zwischengespeichert. Ob manche Kunden tatsächlich Passwörter aufschrieben und aushändigten? „Ja klar. Das machen die meisten“, antwortete der Techniker ungerührt. Die Zettel würden im Anschluss „geschreddert“.

In der Redaktion schauten wir uns das Ergebnis des Transfers an: Der Mitarbeiter hatte Googles Cloud-Backup nicht genutzt, sondern nur das Transfertool auf dem Laptop. Dieses hatte Apps, Fotos, Dokumente und Kontakte übertragen, und zwar Kontakte aus dem Google-Konto und aus dem Telefonspeicher. Nicht übertragen worden waren SMS und Einstellungen wie WLAN-­Zugangsdaten – Dinge, die von Googles Cloud-Backup meist übertragen werden. Das USB-Debugging hatte der Mitarbeiter löblicherweise wieder deaktiviert.

Die Pressestelle von MediaMarkt­Saturn bestätigte auf Anfrage, dass man Kunden Passwörter auf „Kärtchen“ notieren lässt. Diese würden nach der Einrichtung „dem Kunden übergeben oder im Beisein des Kunden vernichtet“. Mitarbeiter würden regelmäßig in puncto Datenschutz geschult. Die Datenübertragung funktioniere „direkt und ohne Zwischenspeichern“. Man halte sich strikt an die gesetzlichen Vorgaben der DSGVO, betonte das Unternehmen.

Aus Datenschutzsicht ist der Einrichtungs-­Service heikel. Schon während unserer Stichprobe hatten wir ein mulmiges Bauchgefühl, weil wir dem Mitarbeiter alle Erläuterungen zum Thema Datenschutz aus der Nase ziehen mussten und er unsere entsperrten Handys mit zu seinem Schreibtisch nahm. Noch bedenklicher erscheint die Praxis des Unternehmens, sich Zugangsdaten von Kunden aushändigen zu lassen. Neugierige Angestellte könnten sich die Daten merken oder heimlich abschreiben. Daraus ergeben sich viele Möglichkeiten des Missbrauchs, von Belästigung bis zu Identitätsdiebstahl.

Technisch gesehen wirkte die Dienstleistung im Selbstversuch akzeptabel: Die wichtigsten Daten wurden übertragen. Allerdings zieht Googles kostenloses Cloud-Tool in der Regel noch mehr Inhalte um. Wir empfehlen: Machen Sie den Handy-Umzug lieber selbst und helfen Sie Bekannten, die das nicht alleine können. In unserem Ratgeber-Artikel zeigen wir, wie Sie Ihre Daten mit Hersteller-Tools und Bordmitteln aufs neue Smartphone umziehen. (cwo)


Dieser Artikel stammt aus c't 14/2020.

Kommentare