Datenschutzlücken bei Apps (“Your Apps are Watching You” - Teil II)
Gespeichert von Dr. Axel Spies am
Wie bereits im Blog berichtet können Apps für mobile Apple-Geräte (iPhone, iPad), die durch die Verkaufsplattformen „AppStore“ und „Cydia“ vertrieben werden, nicht anonymisierte Nutzerprofile des Kunden erstellen. Der AppStore wird von Apple betrieben und ist die einzige von Apple vorgesehene Möglichkeit, Apps auf die mobilen Gerate legal herunterzuladen. Hierfür zahlt der Nutzer eine Gebühr an den App-Entwichler, von denen 30% an Apple angeführt werden. Cydia ist ein alternativer Anbieter von Apps -- jedoch ist die Nutzung dieses Dienstes nur mit mobilen Geräten möglichen, deren Beschränkung auf die Apple-Dienste mittels eines sog. „Jailbreak“ umgangen worden sind.
Eine gemeinsame Studie der TU Wien, der University of California (Santa Barbara), des Institute Eurecom (Sophia Antipolis) und der Northeastern University Boston, die einer zuvor erwähnten Studie der Bucknell-Universität nachfolgt, scheint sich dies nun erneut bestätigt zu haben.
Mehr als die Hälfte der 1400 untersuchten Apps der Vertriebsplattformen haben laut Studie die UDID-Kennung (Unique Device Identifier)der Geräte an den Betreiber der App übermittelt. Dadurch können möglicherweise nicht anonymisierte Nutzerprofile der Kunden erstellt werden.
Apple bietet Entwicklern von Apps die Strukturen, die von ihnen erstellten Applikationen im Wege einer Lizenzierung an den Endnutzer zu bringen; dabei wird Apple jedoch nicht Vertragspartner der Vereinbarung. Jedoch durchlaufen die im „AppStore“ angebotenen Produkte einer Kontrolle auf Inhalt und Funktionsweise durch Apple. Das Erstellen von nicht anonymisierten Nutzerprofilen ist mit den Bestimmungen von Apple jedoch nicht vereinbar. Dort heißt es in den Nutzungsbedingungen des „AppStores"wörtlich
„b. Einwilligung in die Verarbeitung von personenbezogenen Daten: Sie willigen ein, dass der Lizenzgeber [der Entwickler der App] technische Daten und damit im Zusammenhang stehende personenbezogene Daten erheben, verarbeiten und nutzen darf - einschließlich technischer Informationen zu Ihrem Gerät, zum System, zu Softwareanwendungen und zur Systemumgebung. Diese Informationen werden regelmäßig erhoben, um die Zurverfügungstellung von Softwareupdates, Produktunterstützung und anderen Diensten (falls einschlägig) an Sie im Zusammenhang mit der Lizenzierten Anwendung zu ermöglichen. Der Lizenzgeber kann diese personenbezogenen Daten verarbeiten und nutzen, so lange diese anonymisiert sind und Ihre Identität nicht preisgegeben wird, um hierdurch seine Produkte zu verbessern oder um Ihnen Dienstleistungen oder Technologien zur Verfügung zu stellen.“
Was meinen Sie, ist so eine Einwilligung gegenüber dem Entwickler der App versteckt in den Nutzungsbedingungen des „AppStores“ (mit Sitz in den Niederlanden) nach deutschem Datenschutzrecht zulässig?