Es ist ein schwerer Vorwurf, den ein aktueller Bericht gegenüber Google erhebt. Das Unternehmen soll über seine SMS- und Telefonie-Apps Daten Nutzungsdaten eingesammelt und auf eigene Server übertragen haben – und zwar nicht nur ohne explizite Zustimmung der Betroffenen sondern auch ohne die Möglichkeit eines Opt-Outs. Das wirklich Überraschende daran ist allerdings die Reaktion des Softwareherstellers: Google dementiert diesen Umstand nämlich gar nicht, sondern hält die Sammlung für unbedenklich – nimmt nun aber trotzdem Änderungen vor.

Untersuchung

Ausgangspunkt der Diskussion ist eine Studie des Universitätsprofessors Douglas Leith vom Trinity College in Dublin, Irland. Diese hat sich die von Google Messages und Google Phone verschickten Daten näher angesehen, und somit von zwei Apps, die jeweils auf mehr als einer Milliarde Smartphones vorinstalliert sind.

Demnach verschickt etwa Google-Messages einen – verkürzten – Hash-Wert sämtlicher Nachrichten an Google-Server. Diese könnte potentiell dazu genutzt werden, um nachträglich Absender und Empfänger nachträglich zu verbinden, ist der Forscher überzeugt. Bei der Telefonie-App wird wiederum die Anrufzeit sowie die Länge des Gesprächs übermittelt. Vor allem aber würden auch die Telefonnummern der Teilnehmer an Google geschickt.

Feedback

Gegenüber "The Register" leugnet Google diesen Umstand – und andere von Leith aufgeworfene Defizite – gar nicht. Ganz im Gegenteil begrüße man das Feedback von Forschern, und habe in diesem Fall bereits einige Nachbesserungen vorgenommen, andere sollen folgen. Dass die beiden Seiten in den vergangenen Monaten bereits ausführlich über potentielle Verbesserungen diskutiert haben, bestätigt auch Leith.

Einerseits gehe es dabei um die Minimierung der Datensammlung generell aber auch die Reduktion der Gefahr, dass diese dann auf einzelne Personen zurückgeführt werden können. Zudem soll künftig vor der ersten Nutzung der App klarer über die Sammlung solcher Daten informiert werden.

Telemetriedaten

Vollständig könne man die Datensammlung aber nicht abdrehen, da sie sowohl für die Aufrechterhaltung der Servicequalität als auch der Sicherheit unerlässlich seien. So würden etwa die Telefonnummern nur für die Anti-Spam-Funktionen von Google Phone erfasst, die gehashten SMS- und Anrufdaten würden gesammelt, um Probleme bei den Apps debuggen zu können. Für Werbezwecke seien all diese Daten jedenfalls nie genutzt worden – und werden das auch weiterhin nicht.

Trotzdem wirft der Bericht eine grundsätzliche Frage auf, nämlich ob solche Datensammlungen unter der europäischen Datenschutzgrundverordnung (DSGVO) legal sind. Google ist davon wenig überraschend überzeugt, gleichzeitig ist klar, dass es gerade bei Smartphone-Apps Gang und Gäbe ist, recht umfassend Analysedaten zu sammeln.

Spitze des Eisbergs

Leith zeigt sich zwar erfreut über die Kooperationsbereitschaft von Google, sieht hier aber nur die Spitze des Eisbergs. So sei etwa bei den "Google Play Services", einem auf praktisch allen Android-Smartphones vorinstallierten Infrastrukturdienst, weitgehend unklar, welche Daten dieser einsammelt – und für welche Zwecke.

Bekannt sei aber etwa, dass dort Daten mit der "Android ID" des Geräts verbunden werden – die sich theoretisch auf einzelne Nutzer zurückführen lasse. Diese pseudonyme ID kann allerdings von den Nutzern zurückgesetzt und neuerdings auch komplett deaktiviert werden – was aber wohl wiederum vielen nicht klar ist. (apo, 27.3.2022)