Zum Hauptinhalt springen

Datenschutz am SmartphoneIn jeder zweiten App steckt Googles Tracking-Software

In sehr vielen Handy-Apps sind Tracking-Module eingebaut. Sie liefern den Herstellern Informationen über das Nutzungsverhalten der User. Besonders weitverbreitet ist eine Analysesoftware von Google.

Manche App-Hersteller verfolgen jeden einzelnen Schritt: Mann und Kind im Zürcher Hauptbahnhof.
Manche App-Hersteller verfolgen jeden einzelnen Schritt: Mann und Kind im Zürcher Hauptbahnhof.
Foto: Ennio Leanza, Keystone

Beim Stichwort «Tracking» denken die meisten Nutzer ans Web: Es ist längst gemeinhin bekannt, dass unsere Aktivitäten beim Surfen genau verfolgt werden. Allein die ständigen Cookie-Anfragen erinnern uns an die nicht erlahmende Neugierde der Datensammler. Dank der europäischen Datenschutz-Grundverordnung haben wir das Recht, bestimmte Cookies abzulehnen, zum Beispiel für personalisierte Werbung.

Doch wie sieht es bei Apps aus? Die meisten Nutzer haben die Vorstellung, dass sie bei der Arbeit mit ihren Programmen weniger unter Beobachtung stehen: Softwareprodukte sind für die Bearbeitung eigener Dateien und Dokumente ausgelegt, und sie funktionierten meist auch ohne Internetanbindung. Ausserdem geht es die Hersteller nichts an, was wir mit unseren Apps auf den eigenen Geräten tun – oder?

Gute Gründe – und weniger gute

Diese Annahmen sind falsch: Unsere Apps tracken haarklein. Es gibt dafür durchaus legitime Gründe. Zum Beispiel die Fehlerbehebung: Wenn eine App Absturzberichte automatisch an den Hersteller schickt, sieht er sofort, wo Handlungsbedarf besteht. Anonyme Statistiken können sinnvoll sein: Sie helfen den Entwicklern, die App im Sinn der Anwender zu verbessern.

Es gibt auch Apps, die überborden. Sie zeichnen die kleinste Interaktion des Nutzers auf – gleichgültig, ob eine solche Datensammelwut zu sinnvollen Erkenntnissen beiträgt oder nicht. Wie weit das gehen kann, hat das Online-Magazin «TechCrunch» letztes Jahr aufgedeckt: Die Glassbox-Technologie, die damals in Apps von Air Canada und Expedia steckte, erlaubt es, die Interaktionen eines Benutzers von Anfang bis Ende nachzuvollziehen. Beim «Session Replay» hat die App ohne Nachfrage Bildschirmfotos angefertigt und übermittelt, auf denen teils auch persönliche Informationen und selbst Kreditkarten-Nummern enthalten waren.

Im Video demonstrieren wir einige der Methoden, die gegen Tracking helfen.
Video: Matthias Schüssler

Bei Websites hat der Nutzer die Möglichkeit, das Tracking einzuschränken (siehe Kasten). Bei Apps, die vom Betriebssystem direkt ausgeführt werden, ist eine Einflussnahme nicht möglich. Es gibt auch keine Möglichkeit, direkt zu kontrollieren, welche Tracking-Techniken zum Einsatz kommen.

Eigentlich müsste das in den Datenschutzbestimmungen näher beschrieben sein. Doch wie «TechCrunch» aufgezeigt hat, fehlten bei den Glassbox-Machenschaften entsprechende Hinweise gänzlich: «Ein Nutzer hat keine Möglichkeit, davon überhaupt Notiz zu nehmen.»

Apple hat jüngst neue Schutzmassnahmen eingeführt (siehe Kasten). Ein zweiter Kämpfer gegen die Datensammelei in Apps ist Exodus Privacy. Das ist eine von französischen Digitalaktivisten gegründete gemeinnützige Organisation, die Android-Apps untersucht und dokumentiert, welche Tracker im Programmcode enthalten sind. Als Nutzer kann man seine Apps mittels einer Datenbank überprüfen. Die Auswertung zeigt auf, wie viele Tracker vorhanden sind – und welche.

Braucht es wirklich 26 Tracker, um eine Spiele-App zu verbessern?
Braucht es wirklich 26 Tracker, um eine Spiele-App zu verbessern?

Stichproben mit Exodus bringen an den Tag, wie weitverbreitet Tracking ist: Bei den populären Apps der kommerziellen Entwicklerstudios ist die Verwendung solcher Module der Normalfall. Manche Anbieter haben Dutzende von Trackern eingebunden. Microsofts Spiel Solitaire Collection enthält geschlagene 26 Tracker. Die einzige App, die bei unserer Stichprobe frei von Trackern war, ist die Swiss-Covid-App.

Google ist fast überall

Die Module von Facebook (Facebook Analytics und Ads) stecken in 17 beziehungsweise 13 Prozent der Apps, die Exodus untersucht hat. Am weitverbreitetsten ist Firebase Analytics von Google. Dieser Tracker hält einen bunten Strauss an Funktionen bereit, unter anderem auch die Möglichkeit, Benutzer «basierend auf vorhergesagtem Verhalten» in Gruppen einzuteilen.

Exodus hat ihn bei 49 Prozent aller Apps gefunden – bei unserer Stichprobe mit den populären Apps taucht er noch viel häufiger auf. Zwei Ausnahmen, nebst der Swiss-Covid-App, sind Facebook und Whatsapp – die aber ein anderes Google-Modul benutzen.

Firebase Analytics umfasst eine Vielzahl von Funktionen, nicht nur fürs Tracking, sondern auch für die Interaktion mit dem Nutzer.
Firebase Analytics umfasst eine Vielzahl von Funktionen, nicht nur fürs Tracking, sondern auch für die Interaktion mit dem Nutzer.

Wenn Firebase quasi überall drinsteckt, stellt sich eine Frage: Ist Google in der Lage, Nutzer App-übergreifend zu tracken? Auf Anfrage verneint ein Sprecher von Google: Das Tracking läge bei den App-Entwicklern und nicht bei Google. Die Analytics-Kunden – und nicht Google – seien Eigentümer der Daten: «Diese Kunden haben die vollständige Kontrolle darüber, wie oder ob sie diese Daten verwenden.»

Falls ein Entwickler selbst mehrere Apps anbietet, hat zumindest er die Möglichkeit, Nutzer über alle eigenen Apps hinweg zu tracken. Und die App-Entwickler können sich dazu entscheiden, ihre Daten Google zur Verfügung zu stellen; beispielsweise um mitzuhelfen, den Tracker zu verbessern.

Quantitative Angaben macht Google aber nicht. Es ist daher unmöglich, abzuschätzen, wie viele der Nutzerdaten beim Suchmaschinenkonzern landen und welche Einsichten das erlaubt. Im Juli wurde in Kalifornien eine Sammelklage gegen Google eingereicht, weil Google selbst dann Daten sammle, wenn der Nutzer das explizit deaktiviert habe. «Google sei ein Voyeur extraordinaire», wirft die Klage dem Konzern vor.

Aus Sicht von uns Anwendern stellen sich zwei Forderungen: Erstens sollten sich die Hersteller auf das Notwendige beschränken – und nicht alle Daten sammeln, bloss weil es so einfach geht. Und zweitens braucht es klarere Hinweise als kryptische Datenschutzbestimmungen, was genau getrackt wird – und zu welchem Zweck.

8 Kommentare
    Christian Str

    Es gibt noch die Firewall Netguard für Android. Blockiert aber den Datenaustausch komplett.