Norwegische Verbraucherschützer: DSGVO-Beschwerde gegen Grindr

Die Verbraucherschützer zeigen auf, wie umfassend populäre Apps persönliche Daten und Identifikations-Codes an Werbekunden weitergeben.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 45 Beiträge

Auch wenn die weitergeleiteten Daten vordergründig pseudonymisiert sind, können sie über Werbe-IDs zu einem kompletten Nutzerprofil zusammengefügt werden.

(Bild: Forbrukerrådet)

Von

Die norwegische Verbraucherschutz-Agentur Forbrukerrådet dokumentiert die direkte Weitergabe sensibler Daten duch beliebte Apps an mitunter Dutzende verschiedener Werbepartner. Gegen die bei homo- und bisexuellen Männern beliebte Dating-App Grindr und mehrere Werbepartner legten die Verbraucherschützer gar Beschwerde wegen Verstoßes gegen die europäische Datenschutz-Grundverordnung (DSGVO) ein.

In eigener Sache: Das neue c't DSGVO 2020

Highlights der jetzt neu erschienen, stark erweiterten und aktualisierten Neuauflage: 148 Seiten Praxis von Fachjuristen, Bußgeld-Ratgeber: So teuer können selbst simple Fehler werden, 90-Minuten-Webinar i.W.v. 79,00€: Was Ihre IT-Abteilung jetzt wissen muss, PLUS c't Datenschutz-Podcast-Folgen

"20 Monate nachdem die Datenschutz-Grundverordnung zum Tragen kam, werden Nutzer immer noch heimlich überwacht und getrackt – ohne die Möglichkeit zu wissen, wer ihre Daten verarbeitet oder wie man sie stoppt", heißt es einer Studie, die die staatlich finanzierte Verbraucherschutz-Agentur am Dienstag vorgelegt hat. Darin dokumentiert Forbrukerrådet eine ausführliche legale und technische Analyse, wie Nutzerdaten von insgesamt zehn Android-Apps verarbeitet und weitergegeben werden.

Unter den getesteten Apps sind mehrere Dating-Apps wie Grindr und OKCupid, aber auche eine App für Muslime, zwei Perioden-Kalender und die an Kinder gerichtete App "My Tanking Tom 2". Um die Datenweitergabe an Werbekunden zu dokumentieren, analysierten die Verbraucherschützer sowohl die Datenschutzerklärungen der Hersteller als auch die direkt zu beobachtende Datenkommunikation der Apps.

Bei den zehn Apps wurden Datenströme an 135 verschiedene Dritt-Firmen dokumentiert. Viele davon sind Werbeplattformen, die Daten im Zuge des Werbegeschäfts wie programmatischen Werbeauktionen an eine Vielzahl weiterer Firmen weitergeben. Spitzenreiter war hier die Makeup-App Perfect365, die Nutzerdaten an gleich mehr als 70 Drittfirmen weitersendete.

Unter den gesendeten Daten befanden sich oft genaue Standortdaten und eindeutige Kennungen der verwendeten Smartphones, dazu auch die IP-Adresse der Nutzer. Die Firmen betonen immer wieder, nur pseudonymisierte Daten weiterzugeben; Forbrukerrådet verweist hingegen darauf, dass dies durch die Weitergabe eindeutiger ID-Nummern konterkariert werde. Angesichts der Fülle kursierender Daten können viele Branchenteilnehmer die Daten zu einem umfassenden Profil, einem "digitalen Zwilling", zusammenfügen.

"Keine der Apps stellte den Nutzern die notwendigen Daten zur Verfügung um eine informierte Entscheidung über das Tracking zu treffen", kritisieren die Verbraucherschützer. Viele Anbieter verweisen schlicht auf die systemweiten Einstellungen in Android. In Googles Betriebssystem ist per Standard eine so genannte Advertising ID integriert, auf die Apps zugreifen können, ohne dazu eine explizite Berechtigung beim Nutzer anzufordern. Diese ID wurde im Test an 70 verschiedene Drittfirmen übermittelt.

Zwar können Nutzer die Personalisierung über diese ID per Android-Systemeinstellungen deaktivieren. Eine Untersuchung von 2016 habe aber festgestellt, dass lediglich 17 Prozent der Nutzer diese Einstellungen verändert hätten. Dabei sei herausgekommen, dass 30 Prozent davon irrtümlich annahmen, die Datenübermittlung deaktiviert zu haben.

Besonders intensiv wurde die Dating-App Grindr unter die Lupe genommen. Die Datenanalyse zeigte, dass ein Großteil des Werbeverkehrs über Twitters Werbedienstleister MoPub abgewickelt wurde. Grindr sendet über das integrierte SDK ausführliche Informationen an die MoPub-Server. Darunter sind die GPS-Koordinaten der Nutzer, die Advertising-ID und verschiedene andere Nutzerdaten.

Wenn ein Werbebanner angezeigt werden soll, bekommt die App ein JSON-Objekt zurückgeschickt, das Rückschlüsse auf die übermittelten Daten zulässt. Die Werbenetzwerke verarbeiten die externe IP-Adresse des App-Nutzers, auch wenn diese vorher nicht explizit an MoPub übermittelt worden war. Eine genaue Analyse der Datenströme zeigte, welche Daten MoPub an einige Werbefirmen weiterleitete; darunter auch Firmen wie AppNexus und OpenX, die über ihre Auktionsplattformen Daten an Hunderte von interessierten Bietern weitergeben. Wie die Daten dort weiterverarbeitet werden, ist für Nutzer und Verbraucherschützer nicht unmittelbar nachzuvollziehen.

Nachdem Grindr bereits 2018 wegen der Weitergabe des HIV-Status von Nutzern in die Kritik geraten war, hat das Unternehmen zwar solche Informationen von der Weitergabe ausgenommen. Weiterhin übertragen werden aber allgemeinere Informationen wie Alter und Geschlecht des Nutzers. Die Untersuchung ergab zudem, dass mitunter der Name und die Beschreibung der App in der Kommunikation mit den Werbepartnern auftaucht. Da sich die App speziell an homosexuelle und bisexuelle Männer wendet, lassen sich daraus Rückschlüsse über die Person ziehen, die mit anderen Datenbeständen verknüpft werden können. Für die Verbraucherschützer ist dies ein klarer Verstoß gegen die Bestimmungen der DSGVO.

Ein weiterer Kritikpunkt: In den eigenen Datenschutzbestimmungen verweisen Werbeunternehmen auf legitime Interessen als Grund, warum sie die Daten der Nutzer verarbeiten. Doch diese Regelungen könnten allenfalls auf das Direktmarketing bezogen werden. "Nichts in diesem gewaltigen System von Nutzertracking und Datenflüssen zwischen hunderten Unternehmen kann verglichen werden mit einem simplen Werbeschreiben oder einer E-Mail innerhalb einer bestehenden Kundenbeziehung", schreiben die Verbraucherschützer in ihrer offiziellen Beschwerde gegen Grindr.

Generell beklagt Forbrukerrådet, dass sich Firmen anmaßen, den Konsens der Nutzer zu besitzen, wenn diese lediglich nicht von einer mehr oder weniger versteckten Opt-Out-Regelung Gebrauch gemacht hätten. Der Aufwand, den die Nutzer betreiben müssten, um sich gegen das Tracking zu wehren, sei hingegen enorm. So müssten sich Nutzer durch lange Listen von "Werbepartnern" suchen, um selbst den Umfang weitergegebener Informationen in Erfahrung zu bringen oder gar einer Profilbildung zu widersprechen. Innerhalb der untersuchten Apps fehlten die entsprechenden Optionen fast völlig.

Die Studie ist ein Teil einer weltweiten Kampagne gegen die unkontrollierte Datenweitergabe zugunsten des Geschäfts mit personalisierter Werbung. Die Organisation Noyb des Datenschutz-Aktivisten Max Schrems will in den kommenden Wochen entsprechende Beschwerden bei der österreichischen Aufsichtsbehörde einreichen. (anw)