Das haben norwegische Verbraucherschützer herausgefunden mit Hilfe von Sicherheits- und Datenschutzexperten. Netzpolitik berichtete, sogar die ZEIT berichtete. Zehn Apps wurden getestet. Alle zehn haben reichlich Daten an Google weitergereicht, acht davon auch an Facebook. Und sie haben nur Apps getestet, die in Norwegen einigermaßene Verbreitung haben, also z. B. nicht Lovoo. Aber da dürfte das Ergebnis ähnlich ausfallen.
Die Studie haben sie – ab jetzt sind alle verlinkten Dokumente auf Englisch – unter dem Titel „Out Of Control“ veröffentlicht. Wer sich für die Details interessiert, kann sich den Report selbst ansehen. (Ich persönlich warte immer noch darauf, daß Mike Kuketz darauf reagiert. Kuketz hat ja auch vor gut einem Jahr den Ada-Health-Datenmißbrauchsskandal aufgedeckt, der auch durch andere Medien ging.)
Das extremste Beispiel dürfte Grindr sein, eine LGBTQI-Dating-Chat-App, also mit Schwulen, Lesben, Bisexuellen, Transsexuellen etc. als Zielgruppe. Diese App leitet Nutzerdaten an 53 Empfänger weiter. 18 davon empfangen die Android-Advertising-ID, mit der das jeweilige Gerät eindeutig identifiziert werden kann; an 4 wird die IP- und/oder gar die MAC-Adresse des Geräts weitergereicht. 11 empfangen per GPS die aktuelle Position des Nutzers. An 7 werden umfangreiche private Nutzerdaten weitergereicht, die wohl deutlich über Alter und Geschlecht hinausgehen. Es ist nur zu offensichtlich, daß gerade Daten über Angehörige der LGBTQI-Community einigen Leuten da draußen sehr viel Geld wert sind.
MyDays, eine Menstruations-App für Frauen, gehört auch mit zu den Testkandidaten. Teilweise bekommt ein und dasselbe Unternehmen
- in sehr kurzen Abständen die genaue Position des Geräts, und zwar auch innerhalb von Gebäuden bis hin zum genauen Stockwerk und bis hin zu Bewegungsdaten (Gehen, Aufstehen etc.)
- die MAC-Adresse, die normalerweise für jedes Netzwerkgerät einzigartig ist (aber inzwischen unter Android gefaket werden kann)
- eine vollständige Liste der installierten Apps, die zum einen auch als eindeutiger Identifikator verwendet werden kann, zum anderen aber auch dafür, evtl. andere Apps nach verwertbaren Daten zu durchsuchen
Eine andere Menstruations-App, Clue, wurde schon von Mike Kuketz unter die Lupe genommen – er kam auf das gleiche verheerende Ergebnis wie die Norweger, hat aber zusätzlich zwei sichere Alternativen genannt.
Die OkCupid-App reicht u. a. an ein Software-Unternehmen namens Braze (ehemals AppBoy) fast das komplette Nutzerprofil weiter – inklusive aller Antworten aus der Fragenliste (einige davon beinhalten EXTREM sensible Daten, wenn man sie beantwortet hat, z. B. sexuelle Vorlieben, politische Meinung oder Informationen über Drogenkonsum) oder auch Konfession, Schulbildung, ethnischer Zugehörigkeit und Beziehungswunsch – und empfängt gelegentlich auch die GPS-Position. „Nix zu verbergen“ wird spätestens hier gefährliche Naivität: Drogenfahnder könnten hier aus einer einzigen Quelle alle Informationen bekommen, die sie bräuchten, um einen Konsumenten illegaler Drogen zu finden und zu verhaften.
Last but not least: Tinder. Da fängt es schon damit an, daß die App ohne GPS-Daten überhaupt nicht funktioniert. Mit Google ist Tinder sehr eng verknüpft; alleine über Tinder kann Google jedes Smartphone eindeutig identifizieren – und alle gewonnenen Daten entsprechend eindeutig Personenprofilen zuordnen. Zumindest zwei (mutmaßliche) Werbeunternehmen bekommen gebündelt unter anderem
- das Alter
- zusätzlich das genaue Geburtsdatum
- das Geschlecht (und damit auch, ob man eventuell transsexuell oder anderweitig „genderqueer“ ist)
- das bevorzugte Geschlecht (wodurch das Unternehmen erfährt, ob man z. B. schwul oder lesbisch ist)
- den Aufenthaltsort per GPS, teilweise alle fünf Minuten
- Unmengen an Informationen über das Gerät inklusive einer eindeutigen Geräte-ID
- ob Verbindungen zu Spotify und/oder Snapchat bestehen
Zum Schluß sollte man sich eine Frage stellen: Was machen all die Unternehmen, die diese Daten sammeln, mit den Daten? Wer jetzt glaubt, die halten sie unter Verschluß, ist reichlich naiv. Diese Daten sind nämlich sehr, sehr viel Geld wert – vor allem, wenn man noch mehr solche Daten aus mehreren Quellen sammeln und jeweils eindeutig demselben Smartphone bzw. demselben Nutzer zuordnen kann.
Und glaubt mir: Die dienen nicht nur dazu, speziell für euch individuell zugeschnittene Werbung zu machen.