Apples "Privacy Labels" sind eine nützliche Sache. Schon vor der Installation einer iPhone-App sehen die Nutzer so, welche Daten bei der Nutzung gesammelt werden und ob diese an Dritte weitergegeben werden. Vor rund einem Jahr eingeführt, sind diese Angaben für sämtliche Hersteller verpflichtend. In Fragen Transparenz ist das ein deutlicher Fortschritt. Zumindest theoretisch, denn das gesamte System steht und fällt damit, wie ehrlich die Anbieter bei der Angabe dieser Daten sind, handelt es sich dabei doch um Eigenangaben der Hersteller.

Ernüchterndes Ergebnis

Nun gibt es erstmals eine Studie, die sich im Detail angesehen hat, wie es die App-Hersteller mit der Ehrlichkeit halten. Und das Ergebnis ist ernüchternd. Der Informatiker Konrad Kollnig von der Universität Oxford hat für netzpolitik.org 1.682 zufällig ausgewählte Apps aus Apples App Store näher untersucht. Von diesen gaben 373 an, dass sie keinerlei persönliche Daten erfassen. Bei 299 davon – und damit rund 80 Prozent – stellte sich diese Behauptung in der Analyse aber schnell als falsch heraus. Bereits direkt nach dem App-Start kontaktierten die meisten der betroffenen Apps bekannte Tracking-Domains.

Ein Paradebeispiel hierfür ist die "RT News"-App des russischen Staatsfernsehens. Obwohl diese offiziell behauptet, keinerlei Daten zu erfassen, wurden während der Nutzung Informationen über das Nutzerverhalten an insgesamt 19 unterschiedliche Domains verschickt. Darunter bekannte Trackingdienste von Google und Facebook, aber auch der Werbekonzern Taboola oder die Marktforschungsfirma Comscore. Das übrigens auch, obwohl keinerlei Zustimmung zum User-Tracking gegeben wurde, wie es eigentlich seit dem Vorjahr ebenfalls verpflichtend wäre.

Location

Besonders problematisch wird dies dann bei Standortdaten. So verweist Kollnig etwa auf eine App des britischen nationalen Wetterdiensts Met Office. Diese sendet nämlich laut der Untersuchung die – nach Erlaubnis der Nutzer eingeholten – GPS-Daten auch an Google und Amazon weiter – garniert mit einer eindeutigen User-ID. Beides wird nicht auf dem zugehörigen "Privacy Label" der App ausgewiesen.

Reaktion von Apple

Auf Nachfrage des STANDARD betont Apple, dass man von Anfang an offen kommuniziert habe, dass es sich bei den Datenschutzlabels um Eigenangaben der Entwickler handle. Zwar würden diese von Apple zum Teil im Rahmen der eigenen App-Reviews überprüft, dabei konzentriere man sich aber auf die beliebtesten Apps. Zudem gehe man regelmäßig Hinweisen von Nutzern, Aufsichtsbehörden und Medien nach, wenn Verstöße bekannt werden. Generell hätten sich solche Eigenangaben durchaus bewährt, sie kommen etwa auch bei den Altersempfehlungen im App Store zum Einsatz.

Doch Apple bringt noch eine andere Perspektive ins Spiel: Wer hier Falschangaben mache, verstoße gegen die europäische Datenschutzgrundverordnung (DSGVO). Diese schreibe den Entwicklern nämlich vor, klare und transparente Informationen über die Nutzung der Daten europäischer Nutzer zu liefern.

Was Apple nicht sagt: Realistischerweise kann man gar nicht lückenlos überprüfen, was mit den Nutzerdaten passiert, hat man hier doch nur Einblick in die iOS-Apps selbst. Sobald die Daten einmal auf den Servern des jeweiligen Herstellers sind, könnte dieser – theoretisch – damit machen, was er will, ohne dass es auffällt. Insofern ist es durchaus folgerichtig, dass man für die "Privacy Labels" auf Eigenangaben der Hersteller setzt.

Lasche Überprüfung?

Gleichzeitig überrascht aber, wie verbreitet falsche Angaben bei den untersuchten Apps waren. Zumal ähnliche Vorwürfe bereits vor rund einem Jahr zum ersten Mal laut wurden. Wären ähnliche Checks ein fixer Bestandteil sämtlicher App-Überprüfungen, hätte das eigentlich längst auffliegen müssen. Pikant ist das auch deswegen, da Apple gerne auf den umfassenden App-Review-Prozess verweist, um damit gegen die Möglichkeit, Apps jenseits des eigenen Stores installieren zu können, zu argumentieren – und für eine fixe finanzielle Beteiligung an allen Transaktionen.

Drittbibliotheken als Problem

Die Studie zeigt aber noch ein anderes Problem auf, und zwar eines, das sich schon in der Vergangenheit als wachsendes Problem für die Privatsphäre von Smartphone-Usern herausgestellt hat. Vielen der Hersteller der betroffenen Apps dürfte nämlich gar nicht bewusst sein, dass sie sensible Nutzerdaten mit anderen teilen. Das liegt an der weitverbreiteten Verwendung von Drittbibliotheken, um bestimmte Aufgaben einer App schnell umzusetzen. Dass diese oft auch Tracking-Funktionen haben, wissen die Entwickler zum Teil gar nicht – oder sie ignorieren es bewusst, da sie sich damit etwas dazuverdienen.

Android?

Die Untersuchung bezieht sich zwar auf Apples Appstore, die grundlegenden Probleme sind aber auch in der Android-Welt nicht anders. Dort gab es ebenfalls immer wieder Berichte über datensammelnde Drittbibliotheken. Zudem ist Google gerade dabei, ein eigenes Pendant zu Apples "Privacy Labels" einzuführen. Ab Februar sollen Android-Nutzer über die "Data Safety Section" ähnliche und zum Teil noch weiter führende Informationen über Apps erfahren. Auch dort handelt es sich aber wieder um Eigenangaben der Hersteller. Ob Google diese dann besser prüft, muss sich natürlich erst zeigen. Bisher gibt es freilich gar keine solchen Informationen unter Android. (apo, 21.1.2022)