Standortdaten gehören zu den sensibelsten Informationen, die über eine Person gesammelt werden können. Wer weiß, wann jemand wo war, bekommt damit einen tiefgreifenden Einblick in deren Privatleben. Entsprechend sorgsam sollten eigentlich die Hersteller von Smartphone-Apps mit solchen Daten umgehen. So weit die Theorie, wie die Praxis aussieht, verdeutlicht ein aktueller Bericht des Wall Street Journals.

Vorwurf

Die Firma Anomaly Six soll nicht nur heimlich Standortdaten von hunderten Millionen Smartphone-Nutzern gesammelt haben, diese Informationen seien anschließend auch gewinnbringend verkauft worden. Was das Ganze besonders pikant macht: Zu den Kunden von Anomaly Six sollen neben diversen Firmen auch diverse US-Behörden zählen. Das ist auch kein Zufall, ist das Unternehmen laut dem Bericht doch dem militärisch-industriellen Komplex der USA zuzurechnen. Es ist also davon auszugehen, dass sie exakt für solche Aufgaben ins Leben gerufen wurde.

Die Art wie die Standortspionage erfolgt, entspricht dabei dem, was teilweise schon von früheren Vorfällen bekannt ist. Anomaly Six hat ein sogenanntes Software Development Kit (SDK) entwickelt, das App-Entwickler mit dem Versprechen umfassender Analysemöglichkeiten für die Datenauswertung lockt. Man zielt dabei bewusst auf Apps ab, die ohnehin schon Standortdaten sammeln – etwa weil sie diese brauchen, um ihre eigentlichen Aufgaben zu erfüllen. Diesen Zugriff soll Anomaly Six dann aber genutzt haben, um die Standortdaten zu kopieren, und so umfassenden Bewegungsprofile einzelner Nutzer zu erstellen.

Viele offene Fragen

Quelle für den Artikel sind interne Marketingdokumente der von zwei Veteranen des US-Militärs gegründeten Firma. Zudem soll das Unternehmen dem demokratischen US-Senator Ron Wyden eine Präsentation gegeben haben, der insofern die Funktionalität bestätigen kann. Was hingegen nicht bekannt ist, ist welche Apps konkret auf diese Weise von Anomaly Six unterwandert sind. Der Bericht spricht lediglich von 500 beliebten Apps mit hunderten Millionen Nutzern. Die Firma selbst will sich zu der Frage ebenfalls nicht äußern und verweist auf Verschwiegenheitsabmachungen.

All das wirft natürlich die Frage der Rechtmäßigkeit des Handelns von Anomaly Six auf. So betont etwa heise.de, dass diese Weitergabe von Daten ohne Information der Nutzer erfolgt ist, was einen klaren Verstoß gegen die europäische Datenschutzgrundverordnung (DSGVO) darstelle. Aber auch gegen US-Datenschutzgesetze dürfte zum Teil verstoßen worden sein. So fehlt auf der Webseite von Anomaly Six jeglicher Hinweis auf eine Datenschutzerklärung – genau das ist aber mittlerweile in einzelnen US-Bundesstaaten, wie etwa Kalifornien, mittlerweile vorgeschrieben.

Hintergrund

Dass es gerade in den USA eine breites Feld an kleinen Unternehmen gibt, die mit Standortdaten von Smartphone-Usern handeln, ist allerdings keine ganz neue Information. So war die New York Times Ende 2019 auf ein riesigen Satz an Standortdaten gestoßen, mit dem die Bewegungen einzelner Nutzer über Monate hinweg nachvollzogen werden konnten. Mehr als 50 Milliarden Einträge soll die betreffende Datenbank gehabt haben, und wie Experten betonen, handelt es sich dabei nur um eine von vielen.

Eigenschutz

Für die Nutzer bleibt trotzdem die Erkenntnis, dass sie in dieser Hinsicht nicht vollständig machtlos sind. Immerhin können Firmen wie Anomaly Six diese Daten nur dann sammeln, wenn die Nutzer zunächst bei entsprechenden Apps den Zugriff auf die Standortberechtigung gewährt haben. Hier besonders vorsichtig zu sein, ist insofern ein guter Ratschlag. Kann eine App den Zugriff auf diese Information nicht überzeugend argumentieren, sollten solche Anfragen also abgelehnt werden.

Hilfreich ist zudem, dass die Hersteller von Smartphone-Betriebssystemen selbst mittlerweile verstärkt gegen verstecktes Standort-Tracking vorgehen. So haben sowohl Apple als auch Google in ihren aktuellsten Softwareversionen die besonders problematische, dauerhafte Ermittlung von Standortdaten im Hintergrund massiv beschränkt, und warnen die Nutzer zum Teil auch, wenn so etwas passiert. Unter iOS gibt es zudem die Möglichkeit Apps nur einmalig Zugriff auf den Standort zu gewähren, eine Funktion die mit dem kommenden Android 11 auch im Google-Ökosystem landen wird. (apo, 11.08.2020)