Den mycket populära smartphone-appen WetterOnline delar sina användares personuppgifter med hundratals tredjepartsföretag för reklamändamål. Fram till för några dagar sedan inkluderade detta mycket exakta platsdata som kan användas för att härleda en användares bostadsort och arbetsplats eller till och med ett besök på en militärbas. Dessa uppgifter har hamnat på marknadsplatser där de öppet bjuds ut till försäljning. Det är bara användarna själva som inte får sina uppgifter. WetterOnline vägrar att tillhandahålla information om bearbetade uppgifter och hävdar att det skulle vara för mycket ansträngning att följa GDPR: s rätt till tillgång. noyb lämnar nu in ett klagomål till den relevanta dataskyddsmyndigheten i Tyskland.
Exakta platsdata är en säkerhetsrisk. Forskning av netzpolitik.org och andra internationella medier visade att populära smartphone-appar delar platsdata för flera hundra miljoner européer med tredjepartsföretag. Datamäklarna konsoliderar sedan data från många olika källor och bygger upp omfattande datasamlingar. Det som gör detta ännu mer problematiskt är att platsdatan också innehåller det så kallade Mobile Advertising ID (MAID). Detta är en unik identifierare för varje användare. Med hjälp av all denna data kan enskilda personer lokaliseras på en meters noggrannhet. I nästa steg kan man sedan härleda ofta besökta platser som bostadsort och arbetsplats, men även besök på en rehabklinik eller en militärbas. Som netzpolitik.org på ett levande sätt visarkan tillgången till sådan information till och med utgöra en nationell säkerhetsrisk.
Ingo Dachwitz, journalist på netzpolitik.org: "Vår forskning Databroker Files visar att handeln med våra data är helt utom kontroll. Ingen kan hålla reda på var de data som smartphone-appar förmodligen samlar in för reklam hamnar. Detta skulle redan vara ett problem om uppgifterna verkligen bara användes för personanpassad reklam. I fel händer, t.ex. hos underrättelsetjänster, stalkers eller nazister, blir de en verklig fara."
Det regnar data - för tredje part. Teamet på netzpolitik.org och dess partners lyckades få tag på en sådan datauppsättning, tillsammans med information om ursprunget till de platsdata som såldes. WeatherOnline, en app som har laddats ner mer än 100 miljoner gångerär en av de appar som sticker ut särskilt. Enligt datauppsättningen samlade appen in exakta platsdata för tiotusentals användare på bara en dag och enbart i Tyskland - och sålde dem vidare till många tredjepartsföretag inom reklambranschen. Så kallad realtidsbudgivning (RTB) kommer sannolikt att spela en central roll här. Det innebär att reklamutrymme auktioneras ut till högstbjudande inom några millisekunder. Som en bieffekt hamnar de utvalda användarnas personuppgifter också hos ett stort antal andra aktörer i ekosystemet för annonsering. Enligt WetterOnlines integritetspolicy rör det sig om mer än 300 företag. För några dagar sedan ändrade WetterOnline dock samtyckesformuläret och sekretesspolicyn i sin app. Nu står det att GPS-platsdata inte längre kommer att användas för reklamändamål.
Respektera de grundläggande rättigheterna för dem som påverkas? Förmodligen för mycket ansträngning. För att ta reda på mer om de platsdata som handlas online skickade netzpolitik.org-journalisten Ingo Dachwitz en begäran om åtkomst till WetterOnline - och avvisades omedelbart eftersom "utvinning och sammanställning av alla dessa uppgifter skulle kräva avsevärda tekniska, personella och ekonomiska resurser". Enligt företaget representerar begäran en "oproportionerlig ansträngning" - vilket dock inte är ett undantag enligt GDPR. Med andra ord: WetterOnline har uppenbarligen inga problem med att skicka användarnas personuppgifter till hundratals tredjepartsföretag. Det är först när en registrerad vill utöva sin grundläggande rätt till dataskydd som det verkar gå för långt. WetterOnline vägrar helt enkelt att uppfylla den lagstadgade skyldigheten att tillhandahålla information.
Martin Baumann, dataskyddsjurist på noyb: "GDPR gör det klart att registrerade har rätt till en kopia av sina uppgifter som behandlas av ett företag. Det finns helt enkelt inget undantag för en påstått "oproportionerlig ansträngning". WetterOnline måste följa EU-lagstiftningen precis som alla andra företag."
Klagomål inlämnat i Tyskland. noyb har nu lämnat in ett klagomål till dataskyddsmyndigheten i Nordrhein-Westfalen på uppdrag av netzpolitik.org-journalisten Ingo Dachwitz (WetterOnline är baserat i Bonn). noyb ber WetterOnline att till fullo uppfylla den klagandes begäran om tillgång och att tillhandahålla både en kopia av de personuppgifter som behandlas och information om mottagarna av dessa uppgifter. Detta för att förhindra liknande överträdelser i framtiden, noyb också att den behöriga myndigheten ålägger en administrativ sanktion.
