Eine in den USA eingereichte Sammelklage behauptet, dass die zur Steuerung aller Bose-Bluetooth-Kopfhörer eingesetzte App ihre Nutzer ausspioniere. Der Hersteller weist die Anschuldigung von sich.

Kyle Zak aus Chicago erhebt schwere Anschuldigungen gegen den Audio-Hersteller Bose: Die zur Anpassung seiner Bluetooth-Kopfhörer unerlässliche App "Bose Connect" spioniere seine Benutzer aus und gebe private Metadaten an Dritte weiter, maßgeblich an den Aggregator Segment.

Damit verletze Bose mehrere US-Gesetze, darunter den "Federal Wiretap Act". Dieser verbietet das Belauschen elektronischer Kommunikation und die Weitergabe der belauschten Daten. Die Bose-App sammele aber insgeheim "Medieninformationen" einschließlich Details über die über die App abgespielte Musik und gebe diese Daten an Dritte weiter. Hierfür hole Bose keine Erlaubnis ein.

Sammelklage für alle Besitzer von Bose-Bluetooth-Produkten

Zak beziehungsweise sein Anwalt Benjamin S. Thomassen fordern von Bose eine Entschädigung für diese Verstöße. Da vom Gesetzesbruch alle anderen Anwender der Connect-App gleichermaßen betroffen sind, hat die Kanzlei Edelson PC die Klage gleich als Sammelklage (Class Action Suit) angelegt. Die Kanzlei ist auf Datenschutz-Prozesse und Sammelklagen spezialisiert.

Leider lässt die Klageschrift offen, wie Zak zu seinen Anschuldigungen kommt. Eine Bitte von heise online um Belege für die Datensammlung und Weitergabe an Dritte ließ die Kanzlei unbeantwortet. Je nach Umsetzung der App ließe sich durchaus beobachten, mit welchen Servern die App kommuniziert und eventuell auch, welche Daten dabei abfließen – etwa über einen Man-in-the-Middle-Attack.

Der Stein des Anstoßes



Auszug aus den Datenschutzbestimmungen von Bose (Hervorhebung durch heise online) Womöglich beruht die Klage aber ausschließlich auf der in der App verankerten Datenschutzrichtlinie. Diese betont zwar, dass Bose keine persönlich identifizierbaren Daten sammle – wohl aber "bestimmte Informationen", darunter Hardware-Eigenschaften, Nutzungszeiträume und Nutzungsverhalten. Die fraglichen Daten will Bose verwenden, damit Kunden "das meiste aus ihren Bose-Audio-Produkten" herausholen können – aber auch, um die App-Nutzung zu analysieren.

Danach wirds ominös: In den Datenschutzrichtlinien gibt Bose zu, diese Informationen mit Dritten zu teilen sowie es Dritten zu ermöglichen, Informationen direkt in der App zu erheben. Namentlich genannt werden Crashlytics und Segment. Bose betont an dieser Stelle aber nochmals ausdrücklich, dass die App nicht verwendet werde, um Benutzerprofile für verhaltensbasierte Werbung oder ähnliche Zwecke anzulegen.

Andererseits erklärt Bose, die gesammelten Daten auf Anforderung durch Strafverfolgungsbehörden oder bei Betrugsverdacht weiterzugeben. Zusätzlich nimmt Bose sich das Recht heraus, statistische Daten über die App-Nutzung in zusammengefasster Form auf seiner Website zu veröffentlichen.

Die Datenschutzrichtlinie stammt vom November 2015 und nennt nur die 2014 veröffentlichten Bluetooth-Kopfhörer "SoundLink" bei Namen. Die App steuert aber auch die neueren drahtlosen Kopf- und Ohrhörer QuietComfort 35, QuietControl 30 sowie SoundSport.

Zur Lage der Klage

Einerseits steht außer Frage, dass Käufer von Bluetooth-Lautsprechern oder -Kopfhörern kaum um die Installation von Bose Connect herumkommen, wenn sie alle Möglichkeiten der Hardware auskosten wollen. Die App kümmert sich um den Download neuer Firmware-Versionen und um die Anpassung wesentlicher Einstellungen wie der Einstellung der Sprachausgabe und bei Kopfhörern mit Active Noise Cancelling (ANC) um den Grad der Geräuschunterdrückung.

Andererseits zwingt Bose die Käufer seiner Produkte weder zur Registrierung noch zur Nutzung des in die App integrierten Medien-Players. Die Klageschrift führt als Bedrohungsszenario auf, dass Hörgewohnheiten sehr viel über eine Person aussagen – etwa, wenn diese Person moslemische Gebetsdienste oder Podcasts über die Belange von Homosexuelle anhöre. Bose-Kunden könnten schwerlich damit rechnen, dass diese zutiefst persönlichen Daten an Dritte weitergeleitet werden.

Bose nimmt Stellung

Auf eine Anfrage von heise online reagierte der Hersteller umgehend mit einer Stellungnahme von Joanne Berthiaume von der Presseabteilung von Bose USA, die inzwischen auch auf seiner Facebook-Seite steht: "Wir werden die aufrührerischen, irreführenden Vorwürfe über das Rechtssystem bekämpfen." Und weiter: Nichts sei Bose wichtiger als das Vertrauen seiner Kunden. "In der Bose-Connect-App zapfen wir keine Kommunikation an, wir verkaufen Ihre Daten nicht, und wir verwenden nichts vom Gesammelten, um Sie oder andere namentlich zu identifizieren."

Konkreter könne man sich derzeit nicht äußern. Das ist bedauerlich, weil Bose etwa nicht darauf eingeht, ob womöglich die in den Datenschutzbestimmungen eingebundenen Drittenanbieter die Daten in dieser Richtung tätig sind. So führt die Klageschrift auch an, dass Kunden bei der Registrierung ihres Produkts dessen Seriennummer angeben müssen. Da diese mutmaßlich auch von der App ausgewertet wird, ließen sich Nutzername und Nutzungsdaten durchaus zusammenführen.

Nicht der erste Spionagevorwurf



Die Berechtigung zur Standortbestimmung erklärt Bose erst seit es Beschwerden hagelte. Tatsächlich steht Bose nicht zum ersten Mal wegen seiner Bluetooth-Geräte in der Kritik. Die Bose-Connect-App für Android verlangt seit einigen Iterationen die Berechtigung zum Zugriff auf den Standort des Anwenders, was vor einigen Monaten für starke Kritik und zahlreiche Abwertungen der App im Play Store sorgte.

Mittlerweile erklärt Bose mit einem eigenen Bildschirm den Grund für die Anforderung: "Uns gefällt das auch nicht", aber Android setze diese Berechtigung zur Kommunikation über den Standard "Bluetooth Low Energy" (BLE) voraus. Weiterhin versichert Bose, "Ihre GPS- oder Standortdaten werden weder von uns gespeichert, noch dazu verwendet, um Sie zu überwachen." Willigt der Benutzer trotzdem nicht ein, beendet sich die App einfach wieder.

[Update:] Aussage bezüglich der Berechtigungen zum BLE-Betrieb unter Android präzisiert. [/Update] (ghi)