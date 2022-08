Ein Heißgetränk und eine Backware als Entschädigung für eineinhalb Jahre Tracking rund um die Uhr. Darauf haben sich die kanadische Kaffeehauskette Tim Hortons und mehrere Kläger verständigt. Mit diesem Vergleich sollen vier Sammelklage wegen heimlicher Überwachung aus der Welt geschafft werden. Tim Hortons hat von Handys mit installierter Tim-Hortons-App den Standort und andere Daten laufend abgerufen, selbst wenn die App gar nicht geöffnet war.

Viele betroffene Kanadier empfinden das Entschädigungsangebot als Wink mit dem Mittelfinger. In den Nutzungsbedingungen der App hatte Tim Hortons versprochen, den Aufenthaltsort nur bei geöffneter App abzufragen. Tatsächlich wurde er eineinhalb Jahre lang unabhängig von der App-Nutzung alle drei bis fünf Minuten erhoben und an die Firma Radar Labs in New York City weitergeleitet.

Radar Labs darf die geernteten Daten ausdrücklich weiterverkaufen, wie eine Untersuchung der kanadischen Bundesdatenschutzbehörde in Zusammenarbeit mit den Provinzbehörden Albertas, Britisch-Kolumbiens und Québecs ergeben hat. Die im Vertrag zwischen Tim Hortons und Radar Labs vorgesehen "De-Identifikation" vor einem Weiterverkauf ist leicht auszuhebeln, wie die Behörden betonen. Laut einer Investorenpräsentation zählte die Tim-Hortons-App Ende März vier Millionen aktive Nutzer.

Android 10 schlug Alarm

Aufgedeckt hat den Datenschutz-Fall Mitte 2020 James McLeod, damals Journalist der kanadischen Tageszeitung Financial Post. Nach einem Update auf Android 10 hatte ihn sein Pixel-3XL-Handy im September 2019 darüber informiert, dass die Tim-Hortons-App im Hintergrund seinen Aufenthaltsort abgefragt hatte. Der verdutzte User richtete eine Datenschutzauskunft an Tim Hortons und wurde mit einer Datenflut in Form von JSON-Dateien bedacht.

Darin zeigte sich, dass die Sammlung der GPS-Daten im März 2019 begonnen hatte. Zwei Monate später explodierten die Datenmengen. Mit einer neuen App-Version fügte Tim Hortons damals die Dienste der Firma Radar Labs aus New York City hinzu. Laut deren Webseite verfolgt sie Mobiltelefone mit ihrer Software alle drei bis fünf Minuten. In McLeods fallen kamen in weniger als fünf Monaten mehr als 2.700 gespeicherte GPS-Koordinaten zusammen, allesamt gespeichert in der AWS-Cloud und bei Tim-Hortons-Partnern.

Darüber hinaus speicherte Tim Hortons tiefergehende Daten bezogen auf bestimmte Bewegungen des Geräts, darunter Akkuladestand, IP-Adresse, Mobilfunk-Netzbetreiber, wieviel Speicherplatz frei war, die Android-Werbe-ID, ob Bluetooth aktiviert war, Betriebssystemversion und so weiter. McLeod fand in den Daten auch persönliche Identifikationsnummern der kalifornischen Firma Amplitude, die auf Usertracking über mehrere Geräte hinweg spezialisiert ist, sowie der Tracking-Firmen mParticle und Braze.

Tracking bis nach Afrika

Tim Hortons speicherte diese umfangreicheren Datensätze in zwei Kategorien: "Places" und "Insights". Places wurde ausgelöst, wann immer ein User vermeintlich ein Konkurrenzgeschäft betrat oder verließ – nicht nur andere Kaffeehausketten, sondern auch KFC, McDonalds, Subway oder Pizza-Ketten. Dass zum Tim-Hortons-Konzern auch Burger King und Popeyes Louisiana Kitchen zählen, erklärt den Hintergedanken dieser Konsumentenobservation. Allerdings verspricht der Konzern, dass die Daten nicht mit den Konzernschwestern geteilt wurden.

"Events" wurde beispielsweise ausgelöst, wenn ein Anwender Zuhause, am Arbeitsplatz, bei einer Sportveranstaltung oder auf Reisen war (in McLeods Fall jeder Aufenthalt mehr als 100 Kilometer von Toronto entfernt). Selbst auf einer Marokkoreise wurden McLeods Schritte weiter observiert, obwohl Tim Hortons dort nichts feilbieten kann.

"Es war creepy", schilderte McLeod dieses Jahr in einem Interview mit seinem Ex-Arbeitgeber, der Financial Post, "Da war eine Markierung wo ich meine Exfreundin besucht habe. Das war ein intimes Detail." Die App habe er dort sicher nicht benutzt. Mehrmals hat ihn Tim Hortons am Bauernhof seiner Eltern getrackt, obwohl er dort ebenfalls nichts bestellt und die nächste Tim-Hortons-Filiale mehr als 20 Minuten Autofahrt entfernt ist. Das ist für kanadische Wohnsitze schon recht viel, da Tim Hortons Filialnetz mit über 4.300 Standorten in dem Land extrem dicht ist.

Aufgeflogen durch Update auf Android 10

Bis Android 9 konnten Nutzer einzelnen App den Zugriff auf die Standortdaten nur gewähren oder nicht gewähren. Erst seit Android 10 kann das Recht nur bei aktiver Nutzung gewährt werden. Dieses Update führte zur Aufdeckung der Machenschaften der Kaffeehauskette. Sie behauptete zunächst, die Nutzer hätten dem Tracking zugestimmt, gestand in der Folge aber ein, die Kunden in die Irre geführt zu haben.

Es folgten insgesamt vier Sammelklagen in den Provinzen Alberta, Britisch-Kolumbien und Ontario. Eine Rechtsverletzung leugnet das Unternehmen bis heute, auch in dem Vergleichsantrag, obwohl die Untersuchung der Datenschutzbehörden eindeutig Verletzungen des kanadischen Bundesdatenschutzrechts festgestellt haben. Allerdings können die kanadischen Datenschutzbehörden keine Strafen verhängen.

Betroffene können Schadenersatz einklagen, was die vier Sammelklagen versucht haben. Das Ergebnis sind Zahlungen an die beteiligten Anwälte und eine Tasse Heißgetränk im Wert von bis zu 6,19 kanadischen Dollar (etwa 4,70 Euro) sowie eine Backware im Wert von bis zu 2,39 Dollar (etwa 1,80 Euro) aus dem Tim-Hortons-Sortiment. In Summe also maximal 6,50 Euro pro Person, in aller Regel weniger. Gerichte der drei Provinzen müssen noch zustimmen, doch da alle an den Verfahren Beteiligten einverstanden sind, dürfte das Formsache sein.

Tim Hortons ist optimistisch

"Ich glaube, die Empfänger (dieses Angebots) werden es als bescheiden empfinden, aber Sammelklagen sind oft bescheiden für Endverbraucher", kommentierte der an den Verfahren nicht beteiligte neuschottische Datenschutz-Anwalt David Fraser gegenüber der Nachrichtenagentur Canadian Press. Da die App viele Millionen mal heruntergeladen wurde, könnte die Gesamtsumme des Angebots angemessen sein. "Wenn Sie die App genutzt haben und Tim Hortons (nichts mit den Informationen gemacht hat), haben sie nichts erlitten, was als realer Schaden erachtet würde", erklärte Fraser die kanadische Rechtslage. Die Entschädigung beziehe sich also nur auf emotionale Beeinträchtigung.

Tim Hortons gibt an, die Daten nur aggregiert für Werbung innerhalb der App genutzt zu haben. Es werde die ohne Zustimmung erhobenem Daten löschen und auch seine Partnerfirmen darum ersuchen. Das Unternehmen möchte weiterhin Standortdaten abfragen, das aber in den Datenschutzbedingungen deutlich machen. "Alle Parteien stimmen zu, dass der Vergleich fair ist. Wir freuen uns auf die Entscheidung des Superior Court of Quebec", sagt Tim Hortons. Die Gerichte der beiden andere Provinzen würden dem dann folgen.

(ds)