Max Schrems, Noyb
Max Schrems und sein Team haben die Missstände aufgedeckt.
Georg Molterer/Noyb

Am Donnerstag reichte die österreichische NGO Noyb drei Beschwerden gegen die populären Apps von Fnac, die Under-Armour-Tochter MyFitnessPal und die Immobilien-App SeLoger ein. Die Apps greifen laut der Organisation direkt nach dem Öffnen auf die persönlichen Daten ihrer Nutzerinnen und Nutzer zu und geben diese an Dritte weiter, um umfangreiche Analysen durchzuführen. Rechtswidrig ist zudem, dass Nutzende keine Möglichkeit haben, dem Teilen ihrer Daten zuzustimmen oder es zu verhindern.

Tracking ohne Einwilligung

Die beschwerdeführende Person, die sich an Noyb gewandt hat, installierte die beliebten Apps MyFitnessPal, Fnac and SeLoger auf dem eigenen Android-Smartphone. Die Apps begannen sofort nach dem Öffnen, persönliche Daten – darunter Googles eindeutige Werbe-ID (AdID), das Modell und die Marke des Geräts sowie die lokale IP-Adresse – zu sammeln und mit Dritten zu teilen. Die Sammlung dieser Daten ermöglicht es, Profile für personalisierte Werbung zu erstellen.

Laut der ePrivacy-Verordnung der EU ist der Zugriff auf oder die Speicherung von Daten auf dem Endgerät von Nutzenden aber nur erlaubt, wenn diese ihre "freie, informierte, ausdrückliche und unmissverständliche Einwilligung erteilen", wie Noyb in einer Pressemitteilung betont. Zwei der drei Apps hätten die betroffene Person beim Start allerdings nicht nach einer Einwilligung gefragt. Die dritte App habe zwar ein entsprechendes Banner angezeigt. In Wirklichkeit begann die Datenübermittlung allerdings ohne jegliche Interaktion – und zwar bevor eine Ablehnung überhaupt möglich war.

Ala Krinickytė, Datenschutzjuristin bei Noyb, sagt dazu: "Apps brauchen die Einwilligung von Nutzerinnen und Nutzern, um sie zu tracken. In Wirklichkeit geben sie persönliche Daten aber oft automatisch weiter. Obwohl es ein Problembewusstsein hinsichtlich Online-Trackings gibt, mangelt es bei Smartphone-Apps bisher an der Rechtsdurchsetzung."

Löschung erwirken

Einmal mehr wird in der Pressemitteilung betont, dass Informationen wie die AdID eindeutig mit dem Gerät und einer bestimmten Person verknüpfbar sind. Dies ermöglicht es Werbetreibenden und anderen Dritten, Nutzende in Zukunft gezielt zu tracken. Hinzu kommt, so Noyb, dass einige Apps das Nutzungsverhalten sogar "außerhalb ihrer Anwendung verfolgen". Dadurch würden auch die gesammelten Daten mit weiteren Informationen über das Leben der Nutzenden anreicherbar sein.

Das Problem ist kein Neues. Laut Untersuchungen von Konrad Kolling und weiteren Forschenden bieten gerade mal 3,5 Prozent aller Apps den Nutzerinnen und Nutzern eine Möglichkeit an, die Einwilligung zu verweigern. Das bestätigt auch Krinickytė: "Die illegale Sammlung und Weitergabe von persönlichen Daten sind ein weitverbreitetes Problem im Umfeld der Smartphone-Apps. Es ist wichtig, dass die zuständigen Aufsichtsbehörden jetzt geeignete Maßnahmen ergreifen, um dieser Praxis ein Ende zu setzen."

Im angesprochenen Fall mit den Fitness- und Immobilien-Apps hat Noyb eine technische Analyse der Apps durchgeführt. Ziel der Beschwerden ist es, eine Löschung aller unrechtmäßig verarbeiteten Daten zu erwirken. Angesichts der schwerwiegenden Vorwürfe und der potenziell großen Zahl betroffener Personen schlägt die NGO der zuständigen Behörde außerdem vor, ein Bußgeld zu verhängen. (red, 14.9.2023)