Mobile App-Tracking unter Beschuss

Image of Carlo Cilento

Veröffentlicht am 17. Okt. 2023 von Carlo Cilento

Im September reichte die niederländische Nichtregierungsorganisation SDBN eine Sammelklage gegen XCorp (ehemals Twitter) ein, weil es seine Nutzer unrechtmäßig verfolgt und personenbezogene Daten für Werbezwecke sammelt.

Die Klage betrifft auch MoPub, eine Plattform für mobile Werbung, die früher zu Twitter gehörte und später an AppLovin verkauft wurde. Die Beteiligung von MoPub ist von großer Bedeutung, da seine Tracker in Tausenden von Apps zu finden sind, darunter so beliebte Dienste wie Shazam und Duolingo.

Etwa zur gleichen Zeit reichte die Datenschutz-NGO noyb bei der französischen Datenschutzbehörde Beschwerden gegen drei Handy-Apps ein, die angeblich unrechtmäßig Nutzer tracken. Weitere Informationen zu den Beschwerden sind auf der Website der Organisation zu finden.

Die EU-Regulierungsbehörden sind endlich aufgerufen, das Gesetz gegen mobile Apps durchzusetzen. Doch was hat es mit Trackern und mobilen Apps auf sich, und warum sind diese Fälle so wichtig?

  1. Ein übersehenes Thema
  2. Wie funktioniert das mobile Tracking?
  3. Ist das mobile Tracking bedenklich?
  4. Was sagt die Datenschutz-Grundverordnung zum mobilen Tracking?
  5. Was gibt es über die Fälle zu wissen?
  6. Warum sind diese Fälle so wichtig?
  7. Werden sich die Dinge zum Besseren wenden?
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Ein übersehenes Thema

Tracking und verhaltensbasierte Werbung sind schon seit einiger Zeit ein heißes Thema in der Datenschutzgemeinde. Das überrascht nicht, denn zahlreiche Unternehmen nutzen Tools wie Meta's Pixels oder Google Analytics.

Es gab viele Nachrichten zu diesem Thema, von der 400-Millionen-Euro-Strafe von Meta für das unrechtmäßige Tracking und Profiling von Facebook- und Instagram-Nutzern bis hin zum laufenden Verfahren der belgischen Datenschutzbehörde zum Transparenz- und Zustimmungsrahmen des IAB Europe.

Mobilen Anwendungen wird nicht die gleiche Aufmerksamkeit zuteil wie der traditionellen, auf Cookies basierenden Tracking-Technologie. Werfen wir also einen genaueren Blick darauf, wie Apps ihre Nutzer verfolgen, und sehen wir, warum die App-Überwachung eine große Gefahr für die Privatsphäre darstellt.

Wie funktioniert das mobile Tracking?

Wahrscheinlich sind Sie mit dem Cookie-basierten Tracking im Internet vertraut. Unternehmen wollen Besucher identifizieren, um die Leistung ihrer Websites und ihrer Marketingkampagnen zu bewerten. In den meisten Fällen wollen sie auch ihre Besucher im Web verfolgen, um personalisierte Werbung auf der Grundlage persönlicher Daten wie Interessen, Standort, demografische Daten usw. anzuzeigen.

Die meisten Websites tun dies, indem sie Cookies im Browser des Nutzers platzieren - was nach EU-Recht nur mit dessen Zustimmung möglich ist (die allgemeinen Regeln sind etwas komplizierter, aber so funktioniert es bei der Webanalyse in Kurzform).

Bei der mobilen Nachverfolgung verhält es sich anders: Apps extrahieren Daten direkt vom Gerät des Nutzers und senden sie an die Muttergesellschaft der in die Apps eingebetteten Software Development Kits (SDKs).

SDKs sind eine Art "Bausteine", die es Softwareentwicklern leichter machen, eine App zu erstellen. Ein SDK ist im Wesentlichen ein vorgefertigtes Codepaket, mit dem Apps Aufgaben wie die Authentifizierung von Benutzern, das Abrufen von Informationen aus einer API, die gemeinsame Nutzung von Daten usw. ausführen können. Unternehmen können viel Entwicklungszeit sparen, wenn sie ein SDK in ihre App integrieren, anstatt komplexe Funktionen von Grund auf neu zu programmieren.

SKDs sind für Softwareentwickler sehr nützlich. Auf dem schnelllebigen, hart umkämpften Markt für mobile Apps liefern sich die Unternehmen einen ständigen Wettlauf, um eine Nische zu besetzen, bevor die Konkurrenz ihnen zuvorkommt. Für Entwickler ist es wichtig, das Produkt schnell auf den Markt zu bringen, und SDKs sind der einfachste Weg, dies zu tun. Die Verwendung von SDKs ist in der Branche so gut wie gang und gäbe, und wir alle haben mehrere auf unseren Smartphones.

Aber es gibt einen Haken. SDKs werden in der Regel kostenlos zur Verfügung gestellt, enthalten aber Code, der Informationen von Endbenutzern extrahiert und dem Unternehmen, das das Kit entwickelt hat, zur Verfügung stellt. Entwickler erhalten SDKs also kostenlos, und Sie bezahlen mit Ihren Daten, wenn Sie die App herunterladen.

Ist das mobile Tracking bedenklich?

Wenn Sie unseren Blog verfolgen, wissen Sie wahrscheinlich, dass wir nicht die größten Fans von Cookies sind. Das Tracking über mobile Apps ist aus mehreren Gründen noch schlimmer.

Zunächst einmal sind Apps heimtückisch. Sie können Ihre Cookies mit ein paar Klicks in Ihrem Browser überprüfen, aber es erfordert viel Arbeit und Know-how, um herauszufinden, welche Daten Ihre Apps von Ihrem Telefon sammeln.

Die Beschwerden von Noyb sind ein gutes Beispiel dafür. Auf der Website der Organisation wird ausführlich erklärt, wie noyb herausgefunden hat, welche persönlichen Daten gesammelt und weitergegeben wurden. noyb hat zunächst ein Gerät gerootet und dann Software von Drittanbietern verwendet, um den ausgehenden Datenverkehr zu erfassen und zu entschlüsseln. Das ist nicht sehr benutzerfreundlich.

Außerdem haben die Nutzer bei Browsern die Kontrolle über Cookies, da sie mit wenigen Klicks gelöscht werden können. Bei mobilen Anwendungen haben die Nutzer keine solche Kontrolle.

Die Zugriffsberechtigungssysteme der meisten Betriebssysteme ermöglichen ein gewisses Maß an Benutzerkontrolle über die Datenerfassung - zum Beispiel durch die Möglichkeit, den Zugriff auf Standortdaten oder das Mikrofon des Geräts zu verweigern. Andere persönliche Daten sind jedoch nicht durch das Berechtigungssystem geschützt. Darüber hinaus benötigen einige Anwendungen die Daten einfach, um ausgeführt werden zu können - und erpressen so den Nutzer zur Bereitstellung unnötiger Daten.

Diegeräteübergreifende Verfolgung ist für mobile Apps ebenfalls trivial, da viele Benutzer dieselben Apps auf verschiedenen Geräten installieren und sich mit demselben Profil anmelden.

Und schließlich verwenden viele Apps die gleichen SDKs und übermitteln Daten an die gleichen Unternehmen, darunter die üblichen Verdächtigen wie Google und Meta. Diese Zentralisierung stellt ein erhebliches Datenschutzrisiko dar: Die von bestimmten Apps gesammelten Daten mögen harmlos erscheinen, können aber sehr aufschlussreich sein, wenn sie mit Daten aus anderen Apps kombiniert werden.

Nehmen wir an, Sie verwenden eine App für psychische Gesundheit und eine App zur Kalorienmessung. Sie verwenden sie häufig zusammen, weil Sie bei Traurigkeit oder Angst oft Trost im Essen suchen. Wenn die Apps mit denselben SDKs betrieben werden, sehen Sie möglicherweise Werbung für Essenslieferungen, wenn Sie eine Website besuchen, nachdem Sie die App für psychische Gesundheit verwendet haben. Durch die Kombination von Daten aus Ihren Apps kann der Entwickler des SDKs aus Ihrem tröstenden Verhalten Kapital schlagen.

Dies ist nur ein Beispiel für die unethischen und räuberischen Werbestrategien, die durch die Zentralisierung persönlicher Daten auf dem mobilen Werbemarkt möglich werden. Stellen Sie sich vor, was Unternehmen mit ein paar weiteren Apps auf Ihrem Telefon alles machen können.

Was sagt die Datenschutz-Grundverordnung zum mobilen Tracking?

Es gibt bereits Vorschriften, die sicherstellen sollen, dass mobile Apps die Privatsphäre der Nutzer respektieren - wir haben sie nur nicht ausreichend durchgesetzt.

Gemäß der Datenschutzrichtlinie für elektronische Kommunikation ist die Zustimmung zum Lesen und Schreiben von Daten auf dem Gerät des Nutzers erforderlich. Dies gilt auch für die Tracking-IDs, die SDKs in der Regel auf Mobilgeräten speichern, sowie für andere wirtschaftlich wertvolle Daten wie Standortdaten. In der Praxis ignorieren viele Apps diese Anforderung entweder völlig oder erpressen die Zustimmung, indem sie sich weigern zu arbeiten, wenn der Nutzer ihnen nicht die gewünschten Daten gibt (was nach der DSGVO nicht erlaubt ist).

(Um das klarzustellen: Es ist in Ordnung, wenn Apps nach Daten fragen, die sie wirklich benötigen. Google Maps braucht Ihren Standort, Tinder nicht!)

Auch die Transparenz ist für Apps recht problematisch. Nach der Datenschutz-Grundverordnung ist jede Person, die Ihre Daten sammelt, verpflichtet, Ihnen einige wichtige Informationen zur Verfügung zu stellen: welche Daten gesammelt werden, von wem, zu welchem Zweck, ob sie an Dritte weitergegeben werden und so weiter. Die meisten Apps bieten jedoch unvollständige Datenschutzerklärungen an, da die Unternehmen selbst oft keine Ahnung haben, welche Daten ihre Apps über SDKs sammeln.

Was gibt es über die Fälle zu wissen?

Die Beschwerden von Noyb richten sich gegen drei beliebte mobile Apps, die auf dem französischen Markt erhältlich sind: FNAC, Se Loger und MyFitnessPal (das zufälligerweise die SDKs von MoPub verwendet). Wie in dieser Beispielbeschwerde erläutert, behauptet noyb, dass die Apps unrechtmäßig Daten ohne die Zustimmung der Nutzer verarbeiten, was gegen die Datenschutzrichtlinie für elektronische Kommunikation der EU und die französischen Gesetze zu deren Umsetzung verstößt. Noyb behauptet außerdem, dass die Apps gegen den in der DSGVO verankerten Grundsatz des Datenschutzes durch Technik und Voreinstellungen verstoßen, da sie unnötige Daten sammeln.

Es ist erwähnenswert, dass die französische Datenschutzbehörde (CNIL) vor kurzem einige hohe Geldstrafen wegen illegalen Trackings verhängt hat(wir haben darüber geschrieben). Wir glauben, dass noyb gute Argumente hat und dass die CNIL die Angelegenheit sehr ernst nehmen wird. Das kann natürlich nur die Zeit zeigen.

Was die Sammelklage gegen die X Corp. angeht, so wird auf der Website des SDBN behauptet, dass Tausende von Apps ohne Zustimmung persönliche Daten über die Tracker von MoPub gesammelt haben. Darüber hinaus wissen wir nicht viel, da die Pressemitteilung der Organisation die Klage nur in groben Zügen beschreibt.

Es ist erwähnenswert, dass die Organisation im Namen von Millionen von Menschen handelt, was dazu führen könnte, dass die niederländischen Gerichte beträchtlichen Schadenersatz zusprechen.

Warum sind diese Fälle so wichtig?

Wie wir bereits erläutert haben, wird den Datenschutzproblemen, die durch mobile Apps aufgeworfen werden, nicht die Aufmerksamkeit zuteil, die sie verdienen, und es gab bisher kaum Strafverfolgungsmaßnahmen gegen Herausgeber von mobilen Apps und SDK-Vertreiber.

Die Klagen von SDBN und noyb werden dies hoffentlich ändern. Noyb ist eine bekannte Organisation in der Datenschutzgemeinschaft, und die CNIL ist eine einflussreiche Behörde. Die Beschwerden von Noyb werden sicher einige Aufmerksamkeit auf sich ziehen, wenn sie für die NRO erfolgreich verlaufen.

Was das SDBN betrifft, so könnte seine Klage X Corp viel Geld kosten. Vor allem aber betrifft sie indirekt Tausende von Anwendungen, darunter beliebte Dienste wie Shazam und MyFitnessPal. Diese Klage könnte sich also auf die Tracker in unzähligen Diensten auswirken.

Werden sich die Dinge zum Besseren wenden?

Wir hoffen es, und es gibt Gründe, optimistisch zu sein.

Die Zentralisierung macht den mobilen Werbemarkt profitabel, aber sie kann das Geschäftsmodell auch anfällig für Rechtsstreitigkeiten machen. Ein erfolgreiches Gerichtsverfahren gegen die Eigentümer allgegenwärtiger SDKs kann sich auf Tausende von Apps auswirken und Wellen über den gesamten Markt schlagen - vor allem, wenn ein Fall den Weg zum EU-Gerichtshof oder zum Europäischen Datenschutzausschuss finden würde.

Darüber hinaus werden künftige Beschwerden gegen mobiles Tracking wahrscheinlich unter die Datenschutzrichtlinie für elektronische Kommunikation fallen und das notorisch ineffiziente System der Datenschutz-Grundverordnung für die Bearbeitung grenzüberschreitender Fälle umgehen. Dies könnte zu schnelleren Verfahren führen, da Beschwerden in dem Staat entschieden würden, in dem sie eingereicht wurden, anstatt zwischen verschiedenen Mitgliedstaaten hin und her zu springen.

Mobile Apps lauern schon seit Jahren im Hintergrund unserer Telefone und horten im Stillen persönliche Daten in großem Umfang. Es bleibt zu hoffen, dass diese Klagen die Aufmerksamkeit auf das Problem des mobilen Trackings lenken und die Regulierungsbehörden langfristig zu einer strengeren Durchsetzung veranlassen werden.

Wie Sie wahrscheinlich schon gemerkt haben, sind wir gegen Tracking. Wir halten es für unverantwortlich, gefährlich und unethisch. Aus diesem Grund haben wir Simple Analytics entwickelt, um unseren Kunden alle erforderlichen Einblicke zu geben - ohne personenbezogene Daten von den Endnutzern zu sammeln. Wenn sich das für Sie gut anhört, können Sie uns gerne ausprobieren!

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten