Datenschutzlücken bei Apps (“Your Apps are Watching You” - Teil II)

von Dr. Axel Spies, veröffentlicht am 07.02.2011

Wie bereits im Blog berichtet können Apps für mobile Apple-Geräte (iPhone, iPad), die durch die Verkaufsplattformen „AppStore“ und „Cydia“ vertrieben werden, nicht anonymisierte Nutzerprofile des Kunden erstellen.  Der AppStore wird von Apple betrieben und ist die einzige von Apple vorgesehene Möglichkeit, Apps auf die mobilen Gerate legal herunterzuladen. Hierfür zahlt der Nutzer eine Gebühr an den App-Entwichler, von denen 30% an Apple angeführt werden. Cydia ist ein alternativer Anbieter von Apps -- jedoch ist die Nutzung dieses Dienstes nur mit mobilen Geräten möglichen, deren Beschränkung auf die Apple-Dienste mittels eines  sog. „Jailbreak“ umgangen worden sind.

Eine gemeinsame Studie der TU Wien, der University of California (Santa Barbara), des Institute Eurecom (Sophia Antipolis) und der Northeastern University Boston, die einer zuvor erwähnten Studie der Bucknell-Universität nachfolgt, scheint sich dies nun erneut bestätigt zu haben.

Mehr als die Hälfte der 1400 untersuchten Apps der Vertriebsplattformen haben laut Studie die UDID-Kennung (Unique Device Identifier)der Geräte an den Betreiber der App übermittelt. Dadurch können möglicherweise nicht anonymisierte Nutzerprofile der Kunden erstellt werden.

Apple bietet Entwicklern von Apps die Strukturen, die von ihnen erstellten Applikationen im Wege einer Lizenzierung an den Endnutzer zu bringen; dabei wird Apple jedoch nicht Vertragspartner der Vereinbarung. Jedoch durchlaufen die im „AppStore“ angebotenen Produkte einer Kontrolle auf Inhalt und Funktionsweise durch Apple. Das Erstellen von nicht anonymisierten Nutzerprofilen ist mit den Bestimmungen von Apple jedoch nicht vereinbar.  Dort heißt es in den Nutzungsbedingungen des „AppStores"wörtlich

b. Einwilligung in die Verarbeitung von personenbezogenen Daten: Sie willigen ein, dass der Lizenzgeber [der Entwickler der App] technische Daten und damit im Zusammenhang stehende personenbezogene Daten erheben, verarbeiten und nutzen darf - einschließlich technischer Informationen zu Ihrem Gerät, zum System, zu Softwareanwendungen und zur Systemumgebung. Diese Informationen werden regelmäßig erhoben, um die Zurverfügungstellung von Softwareupdates, Produktunterstützung und anderen Diensten (falls einschlägig) an Sie im Zusammenhang mit der Lizenzierten Anwendung zu ermöglichen. Der Lizenzgeber kann diese personenbezogenen Daten verarbeiten und nutzen, so lange diese anonymisiert sind und Ihre Identität nicht preisgegeben wird, um hierdurch seine Produkte zu verbessern oder um Ihnen Dienstleistungen oder Technologien zur Verfügung zu stellen.

 

Was meinen Sie, ist so eine Einwilligung gegenüber dem Entwickler der App versteckt in den Nutzungsbedingungen des „AppStores“  (mit Sitz in den Niederlanden) nach deutschem Datenschutzrecht zulässig?  

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

13 Kommentare

Kommentare als Feed abonnieren

Spielt das ene Rolle ob es zulässig ist?
Solange die Politik auf Niederlandenebene oder direkt auf EU-Ebene tätig wird werden weiter Daten gesammelt.

 

Ehrlich gesagt finde ich es nicht so schlimm das die Identifikationsnummer gesammelt wird, schließlich sammelt heutzutage jedes Programm Nutzerdaten. Gravierender finde ich eher das manche Apps das Address Book auslesen, aber da will Apple ja einen Riegel vorschieben.

0

Es hat schon seinen Grund, warum ich mir ein Smartphone mit Android zugelegt habe und keines aus der Apfelknechtschaft. Da kann ich bei jeder App vor der Installation sehen, ob sie meine Kontakte ausschnüffeln will und dann entscheiden, ob es mir das wert ist...

Nachdem Apple nun die Early Adopters, die Angeber aus der demonstrativer-Konsum-Unterschicht und die sonstigen Geltungssüchtigen bis zur Sättigung dieses relativ kleinen Segments befriedigt hat, muss die Firma sich gut überlegen, wie sie die bewussten Entscheider (auch aus dem Corporate-Bereich, wo Sicherheit ein wesentliches Thema ist - nach wie vor eine große Schwachstelle von Apple) und den Massenmarkt befriedigen wollen, um dem Absturz in die Bedeutungslosigkeit zu vermeiden:

http://www.baylog.de/2011/02/02/android-smartphones-haben-einen-marktant... bzw. http://www.ecomm-berlin.de/typo3temp/pics/r_8a78100016.gif

Es zeigt sich wohl auch im Bereich des Datenschutzes eine Abstimmung mit den Füßen bzw. dem Geldbeutel - unabhängig vom Gebrauch des Bundesgesetzblattes an bestimmten Körperteilen der App-Programmierer.

Ich will Ihnen ja nicht den Spaß verderben aber wollen Sie mir wirklich erzählen das sie bei den ganzen Optionen durchblicken? http://developer.android.com/reference/android/Manifest.permission.html

Da blickt doch keiner durch. Und in den Angaben findet sich keine Info über Apps die auf das Address book zugreifen wollen. Nur Apps die auf WiFi Infos, History oder Bookmarks zugreifen wollen. Und selbst wenn, gehen Sie dazu über alles wegzulassen was irgendwie auf irgendwas zugreifen will, können Sie gar keine Apps installieren.

Also alle Nutzer von iPhone gleich als Angeber zu betiteln ist mehr als nur beleidigend, ich würde eher sagen diskriminierend und aussagend das Sie sich noch nie mit dem iPhone beschäftigt haben. Das iOS hat Macken wie jedes System aber es funktioniert eben. Schön einfach das jeder damit klar kommt. Und wenn Sie argumentieren dass das iPhone unsicherer ist weil es beim Android und den älteren Systemen wie Symbian noch nicht so viele Schlagzeilen gab, stellen Sie sich auf die Stufe mit den Apple Fans die behaupten der MAc wäre sicherer vor Viren als Windows.

Btw finde ich es witzig das Sie glauben das Android gewählt wird weil es um den Datenschutz geht. Schon gewusst das 70% der Anwender einfach nur ein einfaches System wollen und sich keine Gedanken über so Dinge wie App-Kontrolle, ja nicht mal über Technisches wie Bluetooth machen? DIe wollen ein Handy das funktioniert, haben aber selten das Geld um mal eben für die Familie iPhones zu kaufen. Und von Symbian wissen sie das es weder einfach noch schnell ist. Also greifen sie zu Andorid das inzwischen auf jeder Art HAndy installiert ist - von 50€ bis 500€.

 

Android ist das neue Symbian. Symbian hat mehr Zeilen Code als Windows, ist mehr als nur schwerfällig, bietet so viele Optionen die 99% der Nutzer gar nicht braucht oder will und verschwindet gerade in der Bedeutlungslosigkeit. Und zwar deshalb weil die Hersteller lieber auf das schnelle und schlanke Android setzen. Früher war Symbian das System für alle und auf allen. Heute ist es Android. Das Problem ist dass es Android inzwischen in 4 verschiedenen Versionen gibt, Hersteller nicht upgraden können oder wollen und die Systeme nach jetzigem Stand schon nach einem halben Jahr veraltet sind.

 

Mit ein paar Zahlen um sich zu werfen bringt nichts, auch wenn selbsternannte Qualitäts-Journalisten gerne so etwas tun weil es schnell geht. Genauso gut bringt es nichts iPhone Nutzer als Angeber zu betiteln oder die Überlegenheit von Android durch geringes Interresse der Straftäter zu beweisen.

0

DAMerrick schrieb:
Ich will Ihnen ja nicht den Spaß verderben aber wollen Sie mir wirklich erzählen das sie bei den ganzen Optionen durchblicken? 
es reicht wenn man im Android Marketplace nachlesen kann, was die App für Zugriffsrechte haben soll. Vergleichen Sie doch einfach mal:

Meebo als App bei iTunes: http://itunes.apple.com/de/app/meebo/id351727311?mt=8# - kein Hinweis in der Beschreibung über Zugriffsrechte und Datenübermittlung

Meebo bei Android: http://market.android.com/details?id=com.meebo unter der Lasche "Permissions" alles detailliert aufgeführt (ebenso vom Smartphone aus). Und da gibt es zwischen Apps mit gleicher Funktion durchaus Unterschiede, anhand derer ich entscheiden kann, ob z.B. eine GPS- oder Navigations-App wirklich Zugriff auf mein Adressbuch haben muss oder ich eine andere App installiere, die diesen Zugriff nicht will.

DAMerrick schrieb:
alle Nutzer von iPhone gleich als Angeber zu betiteln
wer lesen kann, ist klar im Vorteil: "Nachdem Apple nun die Early Adopters,"

DAMerrick schrieb:
Und wenn Sie argumentieren dass das iPhone unsicherer ist weil es beim Android und den älteren Systemen wie Symbian noch nicht so viele Schlagzeilen gab
wo habe ich das behauptet? Ich habe nur gesagt, dass das iPhone nicht sicher ist:

http://www.heise.de/newsticker/meldung/Pwn2own-iPhone-gehackt-Internet-Explorer-8-Firefox-und-Safari-auch-963348.html

https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Sicherheitsupdate_fuer_Apple_Betriebssystem_iOS_verfuegbar_120810.html

bzw. https://www.bsi.bund.de/cln_174/ContentBSI/Presse/Pressemitteilungen/Schwachstelle_im_mobilen_Apple_Betriebssystem_iOS_040810.html

Und Sicherheit ist wie Datenschutz ein extrem sensibles Thema für problembewusste Firmen - kann ein Anwalt z.B. guten Gewissens Mandantenkontaktdaten auf seinem iPhone oder sonstigen Smartphone haben? Oder deren Steuererklärung oder Buchführungsdaten, wenn es derartige Apps gibt? Traue ich eher einem Betriebssystem, dessen Lücken und Quellcode unbekannt sind oder einem, dessen Fehleranalyse und Patches offen liegen bzw. für das wegen der Quelloffenheit ein Verschlüsselungsprogramm geschrieben werden kann? Traue ich überhaupt einem Betriebssystem von dem ich nicht weiß, wann es welche Daten wohin übermittelt, ohne dass ich eingreifen kann?

Und natürlich spielt das Interesse von potentiellen Straftätern und Ausspähern eine Rolle, wenn es um die Entscheidung für eine Systemplattform geht (das war ja auch jahrelang eine Unterderhand-Argumentation für den Mac). Eine Massenmonokultur wie das iOS ist natürlich attraktiver als viele unterschiedliche Android-Versionen, was sich mit der schnellen Verbreitung von Android aber vermutlich angleichen wird.

"Meebo bei Android: http://market.android.com/details?id=com.meebo unter der Lasche "Permissions" alles detailliert aufgeführt (ebenso vom Smartphone aus). Und da gibt es zwischen Apps mit gleicher Funktion durchaus Unterschiede, anhand derer ich entscheiden kann, ob z.B. eine GPS- oder Navigations-App wirklich Zugriff auf mein Adressbuch haben muss oder ich eine andere App installiere, die diesen Zugriff nicht will."

 

Lesen Sie die Permissions korrekt, dann sehen Sie das App Contacts lesen und auch schreiben darf. Und das in dem Satz dahinter sogar steht das bösartige SOftware diese Funktion zum Löschen oder Verändern ausnutzen kann.

 

"wer lesen kann, ist klar im Vorteil: "Nachdem Apple nun die Early Adopters,"

 

Eben.  Zur Erinnerung, das iPhone ist seit 4 Jahren auf den Markt und wird Millionenfach verkauft, ist Standard in vielen Unternehmen. Und Sie sprechen HEUTE von Early Adopters, und nicht 2007 als es auf dem Markt kam. Damals hätte ich Ihnen zugestimmt aber Apple steht kurz vor der 5ten Generation des iPhones. Entweder Sie meinen mit "Early Adopter" alle Käufer in den letzten 4 Jahren oder sie haben den Begriff nicht verstanden.

 

"Traue ich eher einem Betriebssystem, dessen Lücken und Quellcode unbekannt sind oder einem, dessen Fehleranalyse und Patches offen liegen bzw. für das wegen der Quelloffenheit ein Verschlüsselungsprogramm geschrieben werden kann? Traue ich überhaupt einem Betriebssystem von dem ich nicht weiß, wann es welche Daten wohin übermittelt, ohne dass ich eingreifen kann?"

 

Ich bin Programmierer genug um zu wissen das offener Quellcode kein Garant für Sicherheit ist, einfach weil man den Code lesen können muss. Also beides, zum einen muss man ihn lesen, zum anderen noch verstehen. Nicht umsonst wird zu Programmierungen eine Dokumentation verfasst.

Und es hat sich gezeigt das OpenSource niht sicherer ist, einfach weil sich kein vertrauenswürdiger Programmierer dauernd die veränderten Stellen vornimmt. Das ist also kein Argument. OpenSource ist ein Argument gegen Softwarepatente aber kein Garant für Sicherheit.

 

Ein Verschlüsselungsprogramm gibt es auch für das iPhone, sogar einen kleinen Safe ala TrueCrypt. Da muss man natürlich dem Entwickler vertrauen, wie man das immer muss. Egal ob iOS, Windows oder Mac.

 

Und Sie hatten was gegen die Apps, nicht gegen das OS. Deswegen verstehe ich die letzte Frage nicht. Auf der anderen Seite verstehe ich den ganzen Wirbel einfach nicht, fast jedes JAhr gibt es einen kleinen ARtikel darüber das ein Programm Daten überträgt, das ist schon Standard. Auf dem PC oder Mac haben Sie keinerlei Einfluss darauf. Nutzen SIe MS Office oder LibreOffice, Lotus Notes oder Google Docs.... Das als Office Examples. Alle Programme übertragen DAten und bisher warnt keiner davor diese Sofware zu nutzen.

 

Natürlich ist es dramatisch wenn Apps mehr Daten übertragen als man erwartet, wie gesagt Adressbuch auszulesen ist zu viel, die Apps lasse ich nicht zu. Aber das man sich über Standort, UDID etc. aufregt.... da übertragen die Computerprograms mehr. Sogar sicherheitsrelevante Daten wie Updateinformationen und Hardwareausstattung.

0

Die Frage ist schon grundlegen falsch.

Brauchen Sie Ihr Auto? Brauchen Sie so viel Kleidung? Einen Fernseher, ein Radio oder die Tageszeitung? Brauchen Sie überhaupt ein Smartphone? Brauchen Sie eine Frau oder Freundin?

Bedarf ist etwas subjektives. Der Satz "So etwas braucht man nicht" ist so schlimm wie das Schlagwort "Alternativlos."

 

Aber um auf Ihre eigentlich Frage zurückzukommen: Apps optimieren das Interneterlebnis für das Handy. Und bspw. die App der DHL ist komfortabler als die Website. Jedenfalls auf dem Handy.

Ich will damit nicht sagen das es nicht auch Schund wie Furz-Apps oder Röntgen-Scanner oder dieses ominöse iBier gibt, doch wenn man erstmal Apps auf dem Smatphone statt dem Browser nutzt will man es nicht mehr wissen.

Was sie persönlich davon als Komfortabel oder Nötig erachten ist Ihre Sache. Da sind die Bedürfnisse verschieden.

0

zu DAMerrick:

Danke für die Belehrungen.

Ich habe nicht gesagt, dass man so etwas nicht braucht, sondern mir nur die Frage zu stellen erlaubt: Wozu?

Sie haben recht: Bedarf fällt unterschiedlich aus.

Aber man kann dabei schon unterscheiden:

Lebensnotwendiger Bedarf oder sonstige Kinkerlitzchen.

0

Wie gesagt, ich halte das iPhone und seine Apps nicht für Kinkerlitzchen.
Nicht für Allerlebensnotwenig aber doch als Erleichterung.

 

So wie ein Laptop, ein eigenes Auto oder ein großer Monitor.

Desktop, Bahn fahren und 13'' gingen theoretisch auch aber warum soll man Enthaltsamkeit leben? Wer hat was davon außer... Wer sollte überhaupt was davon haben?

 

Wie gesagt, wenn Sie es nicht brauchen, stört keinen. Ich zwinge auch keinen ein iPhone oder überhaupt Smartphoen zu mögen. Jedem das was er will.

0

Danke für die zahlreichen Kommentare. Es wäre nett, wenn wir uns alle bei den Kommentaren mehr auf die datenschutzrechtliche Problematik  der Apps konzentrieren könnten.

Noch netter wäre es, wenn von Ihnen, Herr Dr. Spies, auch nur einmal eine eigene Einschätzung oder gar Meinung zu einem von Ihnen geposteten Sachverhalt geäußert würde statt - wie zumindest im letzten halben Jahr - nur nach den Meinungen anderer zu fragen.

zu Ihrer Frage:

axel.spies schrieb:

ist so eine Einwilligung gegenüber dem Entwickler der App versteckt in den Nutzungsbedingungen des „AppStores“  (mit Sitz in den Niederlanden) nach deutschem Datenschutzrecht zulässig?  

BDSG § 1 (5) Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland.

-> fraglich, ob das BDSG überhaupt gilt

falls doch: § 30 (1) Werden personenbezogene Daten geschäftsmäßig erhoben und gespeichert, um sie in anonymisierter Form zu übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies für die Erfüllung des Zwecks der Speicherung oder zu wissenschaftlichen Zwecken erforderlich ist.

Zweck der Speicherung der (nicht von vornherein mit personenbezogenen Daten verknüpften) UDID ist doch, Updates auf die richtigen Geräte zu schicken. Damit dürfte § 30 (1) S 2 erfüllt sein.

Oder wie sehen Sie das, Herr Dr. Spies?

Selbst wenn das Niederländische Datenschutzgesetz hier anwendbar ist, bezweifele ich, dass die allgemeine Einwilligung in die Übermittlung der personenbezogenen Daten bei Apps - versteckt in den AGBs - so gültig ist. Aber ich will der Diskussion nicht vorgreifen. 

Zur Klarstellung: Der Blog hier dient sicher nicht dazu, dass die Moderatoren Rechtsfälle lösen oder gar Rechtsrat erteilen, sondern dass sie aktuelle Fälle zur Diskussion stellen.

Kommentar hinzufügen