noyb hat heute drei Beschwerden gegen Fnac (der größte Elektronikmarkt Frankreichs), die Immobilien-App SeLoger und die Fitness-App MyFitnessPal in Frankreich eingereicht. Die Apps greifen direkt nach dem Öffnen auf die persönlichen Daten ihrer Nutzer:innen zu und geben sie an Dritte weiter, um umfangreiche Analysen durchzuführen. Die Nutzer:innen haben keine Möglichkeit, dem Teilen ihrer Daten zuzustimmen oder es zu verhindern. Dieses Vorgehen ist rechtswidrig.
- Beispielbeschwerde gegen Fnac (FR)
- Englische Version der Beispielbeschwerde (maschinell übersetzt)
- Methodologie und technische Spezifikationen für die Erfassung und Analyse des Netzwerkverkehrs
Standardmäßige Übermittlung. Die beschwerdeführende Person hat die beliebten Apps MyFitnessPal, Fnac und SeLoger auf dem eigenen Android-Smartphone installiert. Die Apps begannen sofort nach dem Öffnen, persönliche Daten – darunter Googles eindeutige Werbe-ID (AdID), das Modell und die Marke des Geräts sowie die lokale IP-Adresse – zu sammeln und mit Dritten zu teilen. Die Sammlung dieser Daten ermöglicht es, Nutzer:innenprofile für personalisierte Werbung zu erstellen – mit dem Ziel, die Einnahmen der genannten Unternehmen zu steigern.
Keine Einwilligung. Laut der ePrivacy Verordnung der EU ist der Zugriff auf oder die Speicherung von Daten auf dem Endgerät von Nutzer:innen nur erlaubt, wenn diese ihre freie, informierte, ausdrückliche und unmissverständliche Einwilligung erteilen. Zwei der drei Apps haben die betroffene Person beim Start allerdings nicht nach einer Einwilligung gefragt. Die dritte App hat zwar ein entsprechendes Banner angezeigt. In Wirklichkeit begann die Datenübermittlung aber ohne jegliche Interaktion – und zwar bevor eine Ablehnung überhaupt möglich war.
Ala Krinickytė, Datenschutzjuristin bei noyb: „Apps brauchen die Einwilligung von Nutzer:innen, um sie zu tracken. In Wirklichkeit geben sie persönliche Daten aber oft automatisch weiter. Obwohl es ein Problembewusstsein hinsichtlich Online-Trackings gibt, mangelt es bei Smartphone-Apps bisher an der Rechtsdurchsetzung.“
Detailliertes Tracking. Informationen wie die AdID sind eindeutig und mit dem Gerät einer bestimmten Person verknüpft. Dies ermöglicht es Werbetreibenden und anderen Dritten, Nutzer:innen in Zukunft gezielt zu tracken. Hinzu kommt, dass einige Apps das Nutzungsverhalten sogar außerhalb ihrer Anwendung verfolgen. Dadurch können sie die gesammelten Daten mit weiteren Informationen über das Leben der Nutzer:innen anreichern.
Erste Ergebnisse einer umfassenden Untersuchung. Der beschriebene Umgang mit persönlichen Daten ist symptomatisch für ein weit verbreitetes Problem bei Smartphone-Apps. Obwohl sie oft Millionen Nutzer:innen haben, scheren sich die Betreiber:innen nicht um die Einhaltung der europäischen Datenschutzgesetze. Stattdessen geben sie persönliche Daten an Dritte (einschließlich sogenannter Ad-Broker) weiter und monetarisieren die persönlichen Informationen ihrer Kund:innen. Laut Untersuchungen von Konrad Kolling und weiteren Forschenden, bieten gerade mal 3,5 % aller Apps den Nutzer:innen eine Möglichkeit an, die Einwilligung zu verweigern.
Ala Krinickytė, Datenschutzjuristin bei noyb: „Die illegale Sammlung und Weitergabe von persönlichen Daten sind ein weit verbreitetes Problem im Umfeld der Smartphone-Apps. Es ist wichtig, dass die zuständigen Aufsichtsbehörden jetzt geeignete Maßnahmen ergreifen, um dieser Praxis ein Ende zu setzen.“
Analyse der Datenschutzverstöße. Um Beweise für die oben genannten Verstöße zu erhalten, war eine technische Analyse des Netzwerkverkehrs der Apps notwendig. Die Erfassung und Analyse des Netzwerkverkehrs wurde mithilfe der PiRogue Tool Suite der Defensive Lab Agency durchgeführt. Die detaillierte Methodik und technische Spezifikationen für die Untersuchung sind hier zu finden.
Löschung der Daten und eine mögliche Geldstrafe. noyb verlangt die Löschung aller unrechtmäßig verarbeiteten Daten, sowohl durch MyFitnessPal, Fnac und SeLoger als auch von allen sonstigen Empfänger:innen. Angesichts der schwerwiegenden Vorwürfe und der potenziell großen Zahl betroffener Personen schlägt noyb der zuständigen Behörde außerdem vor, ein Bußgeld zu verhängen. Die heute eingebrachten Beschwerden sind erst der Anfang: noyb plant, weitere Beschwerden gegen Smartphone-Apps einzureichen, um die illegale Weitergabe von persönlichen Daten zu unterbinden.
Danksagung
- Die Erfassung und Analyse des Netzwerkverkehrs wurde mithilfe der PiRogue Tool Suite der Defensive Lab Agency durchgeführt.
- Dr. Konrad Kollnig stellte sein umfangreiches Wissen und seine Expertise zum Thema Tracking in mobilen Apps zur Verfügung.
- Tracking Weasel steuerte wertvolle Einblicke in das Thema der Tracker-Bibliotheken und dem Tracking in mobilen Apps bei.
