Standortdaten sind besonders sensibel, deswegen sollte man die zugehörigen Berechtigungen möglichst wenigen Apps geben.

Foto: Abdullah Rashid / REUTERS

Die Möglichkeiten, die aktuelle Smartphones bieten, sind fraglos beeindruckend. Haben sie doch für viele ihrer Nutzer eine Fülle an anderen Geräten ersetzt – von der Kamera über den Wecker bis zum Routenplaner. Doch mit all dem gehen auch Risiken einher, die nur allzu oft unterschätzt werden. Immerhin gehen viele dieser Funktionen mit massiven Datensammlungen einher, die wiederum das Interesse von weniger erfreulichen Erscheinungen des Internets auf sich ziehen: Datenhändlern, die die privatesten der Nutzerdaten gewinnbringend weiterverkaufen. Gegen einen davon geht nun Android-Hersteller Google vor.

Endlich wird durchgegriffen

Google hat die Firma Safegraph und deren Services aus dem Play Store verbannt. Das unter anderem von Turki bin Faisal Al Saud, dem ehemaligen Chef des saudischen Geheimdienstes, finanzierte Unternehmen hat sich auf das Sammeln und Weiterverkaufen von Standortdaten spezialisiert. Wer hier zugriff, konnte damit recht genau die Bewegungsmuster einzelner User nachvollziehen und so auch Rückschlüsse auf deren Interessen ziehen.

Apple und Google haben in den vergangenen Jahren zahlreiche Privacy-Verschärfungen an Android und iOS vorgenommen, die das Sammeln von Standortdaten erheblich erschweren. Gegen Firmen wie Safegraph hilft dies aber nur begrenzt, und das liegt daran, wie diese an die besagten Daten kommen. Anstatt eigene Apps zu entwickeln, bietet Safegraph ein Software Development Kit (SDK) an, das Dritt-Apps in ihre Erzeugnisse integrieren können. Der Anreiz für die App-Entwickler ist üblicherweise recht profaner Natur: Sie können sich etwas dazuverdienen, indem sie auf diesem Weg die Nutzerdaten an Safegraph weiterleiten. Das heißt aber auch: Die Nutzer werden vorher gefragt, ob sie der Standortberechtigung erteilen, sie stimmen also diesem Zugriff streng genommen zu. Allerdings ist ihnen dabei üblicherweise nicht bewusst, dass diese Informationen über den Zweck der App hinaus an Dritte weitergereicht werden.

Die von Google laut einem Bericht von Motherboard schon im Juni ausgesprochene Klage bedeutet nun, dass die Verwendung der Dienste von Safegraph für Android-Apps verboten ist. Mit dem Bann einher ging eine Frist von einer Woche, die Google allen Safegraph nutzenden Apps setzte, um den entsprechenden Code zu entfernen. Mittlerweile dürfte dies umfassend passiert sein, drohte doch als Alternative der Rauswurf aus dem Play Store.

Warum erst jetzt?

Während das aktuelle Durchgreifen von Google auf Zustimmung stößt, so sorgt der Zeitpunkt wiederum für Kritik. Immerhin sind die Aktivitäten von Safegraph schon länger bekannt, so hatte etwa Motherboard im Vorjahr gezeigt, wie jeder bereits mit einer Investition von 200 US-Dollar an Daten kommt, über die einzelne Nutzer identifiziert werden können. Denn auch wenn die damit handelnden Unternehmen immer wieder betonen, dass solche Datensätze anonymisiert weitergegeben würden, so verweisen Privatsphärenexperten wiederholt darauf, dass so etwas bei Bewegungsdaten schlicht nicht möglich sei. Immerhin könne man aufgrund der aufgesuchten Orte schnell Muster erstellen, die eine Identifizierung zulassen.

Nicht kompatibel mit der DSGVO

In eine ähnliche Kerbe schlägt der Wiener Anti-Tracking-Experte Wolfie Christl. Eine von ihm gemeinsam mit norwegischen Konsumentenschützern durchgeführte Studie habe schon 2019 aufgezeigt, wie Standortdaten einer auf Teenager ausgerichteten App bei Safegraph landeten. Schon damals sei auch klar gewesen, dass dieses Verhalten angesichts der Datenschutzgrundverordnung in der EU illegal sei. Gleichzeitig müsse man auch betonen, dass Google damit noch immer schneller agiere als die EU-Regulatoren, die bisher durch komplette Inaktivität zu diesem Thema glänzen.

Erinnerungen an X-Mode

Safegraph ist dabei natürlich nicht die erste Firma, die mit Standortdaten handelt, und gegen die Google – und Apple – vorgehen. Für einiges Aufsehen hatten dabei etwa im Vorjahr die Aktivitäten der Firma X-Mode gesorgt, die ebenfalls ein solches SDK anbot, und die gesammelten Daten unter anderem an das US-Militär verkaufte. Versteckt war dessen Schnüffelcode unter anderem in einer muslimischen Gebets-App. Genau dieses Beispiel zeigt aber auch, dass die Eingriffsmöglichkeiten von Google und Apple enden wollend sind. Berichtete doch das Wall Street Journal vor einigen Wochen, dass X-Mode sich mittlerweile dem Rauswurf aus den App-Stores angepasst hat. Nun geht man direkte Partnerschaften mit den App-Entwicklern ein, in deren Rahmen diese zuerst die Daten einsammeln und dann erst im Hintergrund auf einem fernen Server an X-Mode weiterreichen. Das verstößt zwar immer noch gegen die App-Store-Regeln sowie diverse Datenschutzbedingungen, passiert aber jenseits des Einblicks der Hersteller der Smartphone-Betriebssysteme, was deren Handlungsmöglichkeiten natürlich beschränkt.

Wer kauft so etwas?

Was dem aktuellen Bericht aber noch eine besonders pikante Note verleiht: Unter den Kunden von Safegraph befinden sich durchaus angesehene Organisationen. So hat etwa ausgerechnet die "New York Times", die in der Vergangenheit selbst mehrfach und ausführlich vor der von Location-Tracking-Firmen ausgehende Gefahr gewarnt hat, ebenfalls von der umstrittenen Firma Daten bezogen. Diese wurden im Vorjahr für einen Artikel benutzt, der aufzeigen sollte, wie sich der Alltag der Menschen angesichts der Covid-19-Pandemie verändert hat, also wie voll es etwa im Vergleich in Restaurants oder auch Fitnessstudios war. Dies obwohl man damals von Motherboard vor der Problematik mit Safegraph gewarnt wurde. Dabei muss allerdings betont werden, dass die "New York Times" mit dieser Ansicht offenbar nicht alleine dastand. Auch die US-Gesundheitsbehörde CDC soll im Vorjahr Daten bei Safegraph zugekauft haben. Überhaupt hatten viele Location-Tracking-Firmen versucht, die Covid-19-Pandemie für ein einträgliches Zusatzgeschäft zu nutzen und auf diesem Weg auch das eigene Ansehen zu verbessern.

Prominente Unterstützer

Neben Turki bin Faisal Al Saud finden sich in der Liste der Safegraph-Investoren noch einige andere prominente Namen. Dazu zählen neben mehreren ehemaligen Personen aus dem Umfeld ehemaliger US-Regierungen auch der früher deutsche Verteidigungsminister Karl-Theodor zu Guttenberg. Auch der bekannte Tech-Investor und Trump-Freund Peter Thiel gehört in diese Riege. Bei Safegraph zeigt man sich von der Google-Blockade übrigens wenig beeindruckt. Der aktuelle Chef des Unternehmen, Auren Hoffman, reagierte auf den Bericht indirekt mit einem eher kindischen Tweet, in dem er betonte, dass das Unternehmen (dank der Medienaufmerksamkeit) gerade Rekordverkäufe tätige. (Andreas Proschofsky, 13.8.2021)