Werkstattbericht:So hat die SZ das Smartphone durchleuchtet
Lesezeit: 3 Min.
Welche Daten entstehen in unseren digitalen Geräten? Was verraten sie über uns? Und was passiert mit ihnen? Fragen und Antworten zur SZ-Recherche.
Von Felix Ebert, Hannes Munzinger und Vanessa Wormer
Wie hat die SZ recherchiert?
Datenjournalisten der SZ haben ein Smartphone des chinesischen Herstellers Xiaomi so konfiguriert, dass sie mitlesen konnten, welche Verbindungen das Betriebssystem oder eine App ins Internet aufbauen und wohin sie Daten senden. Eine Testperson hat das Smartphone 24 Stunden lang genutzt. Die SZ hat den dabei entstandenen Datenverkehr protokolliert und ausgewertet.
Für den Mitschnitt des Datenverkehrs der Testperson wurde ein Smartphone des Typs Xiaomi Redmi 6a (seit 2018 auf dem Markt) mit dem Android-Betriebssystem MIUI V9.6.18.0 genutzt. Während die Testperson das Smartphone nutzte, war es mit einem virtuellen privaten Netzwerk (VPN) verbunden. Das VPN wurde auf einem Protokoll-Server der SZ eingerichtet und so konfiguriert, dass jeglicher Datenverkehr des Smartphones über diesen Server ins Internet geleitet wurde. Auf diesem Server konnte die SZ den Datenverkehr des Smartphones aufzeichnen und anschließend analysieren.
Um die Ergebnisse zu verifizieren, hat die Redaktion den Datenverkehr der Apps auf einem zweiten Gerät betrachtet. Außerdem wurden Teile der Ergebnisse der Nichtregierungsorganisiation Privacy International, der Bundeszentrale für Verbraucherschutz und weiteren Fachleuten für Datenschutz vorgelegt.
Was sind die Ergebnisse der Untersuchung?
Nutzern eines Smartphones ist es nahezu unmöglich, zu überprüfen, was eine App mit den eigenen Daten macht und ob es möglicherweise über das rechtlich Erlaubte hinausgeht. Die Untersuchung der SZ ist der Versuch, diese "Blackbox" auszuleuchten. Die Ergebnisse der Recherche sind nicht repräsentativ, geben aber eine grobe Vorstellung davon, was mit unseren Daten passiert.
Im Testzeitraum von 24 Stunden wurden 7305 Kontakte mit 636 verschiedenen Servern aufgezeichnet. 18 Prozent der Serverkontakte erfolgten in der Nacht; 64 Prozent, während der Bildschirm gesperrt war. Ein Serverkontakt beschreibt zeitlich zusammenhängende Datenpakete, die kurz hintereinander an einen Server gesendet werden.
Die Testperson verwendete innerhalb von 24 Stunden insgesamt 14 Apps, die sie aus dem App Store von Google, dem Play Store, heruntergeladen hatte. "Mehrere Apps, die hier untersucht wurden, haben keine zufriedenstellende Datenschutzinformation", sagt Christian Kast, Rechtsanwalt und Fachanwalt für IT Recht, dem die SZ die Ergebnisse der Analyse vorlegte.
Einzelne Apps deuten beispielsweise schon ihre bloße Nutzung als Einverständnis des Nutzers, sich tracken zu lassen. Die Apps geben dem Nutzer also nicht einmal die Möglichkeit, dem Tracking aktiv zuzustimmen. Der Verbraucherzentrale Bundesverband erklärte, er lasse derzeit einen solchen Fall gerichtlich prüfen. Ob so eine Gestaltung von Webseiten und Apps rechtswidrig sei, hänge aber immer vom Einzelfall ab.
Im Test der SZ gingen außerdem zahlreiche Datenpakete an Server des chinesischen Herstellers Xiaomi, darunter beispielsweise die Information, welche Apps auf dem Gerät installiert sind und die Nutzungszeit und -häufigkeit je App. Ein nicht unerheblicher Teil der Informationen wurde im Test unverschlüsselt an Server des Unternehmens übertragen, darunter beispielsweise die Werbe-ID, nach denen Datensammler gieren, um Profile von Menschen zu erstellen. Ob dies auch bei anderen Xiaomi-Modellen der Fall ist, ist unklar. Das Unternehmen selbst hat eine Anfrage der SZ unbeantwortet gelassen.
Wieso wurde für die Untersuchung ein Smartphone mit Android-Betriebssystem ausgewählt?
Die meisten Smartphone-Nutzer in Deutschland haben ein Gerät mit einer Variante des Betriebssystems Android. Das Open-Source-System wird unter der von Google gegründeten Open Handset Alliance entwickelt. Androids Marktanteil belief sich im September 2019 auf rund 80 Prozent (iOS von Apple: rund 20 Prozent). Deshalb hat die SZ für diesen Test ein Gerät mit einem Google-Betriebssystem untersucht. Der Hersteller Xiaomi wird von Kunden für sein Preis-Leistungsverhältnis geschätzt und ist bei den Marktanteilen dabei, zu Apple aufzuschließen.
In der Vergangenheit gab es außerdem schon mehrfach Fälle, in denen im Google Play Store und in Android-Apps der Datenschutz missachtet wurde. Datenschützer werfen Google vor, Apps, die Nutzer im Store herunterladen können, zu wenig zu kontrollieren.
Was kann man auf seinem Handy gegen das Datensammeln tun?
Es gibt viele Kniffe, mit denen sich das Abfließen von Daten vom Handy zumindest einschränken lässt. Die Werbe-IDs lassen sich zurücksetzen, der Standortverlauf im Handy deaktivieren - und auch das regelmäßige Löschen nicht gebrauchter Apps hilft. Alle sieben Tipps zur digitalen Selbstverteidigung lesen Sie hier.
Welche Daten sammelt die SZ über ihre Nutzer?
Die SZ setzt wie andere Medienunternehmen bestimmte Tracking-Tools und Cookies ein. Auf dieser Seite finden Sie die Information, welche Tracker auf unseren Webseiten verwendet werden und wie sie deaktiviert werden können. Die vollständige Datenschutzerklärung finden Sie hier. In den Apps der SZ können Sie der Datenverarbeitung widersprechen, indem Sie in den Datenschutzeinstellungen der jeweiligen App Nutzerstatistiken, Fehleranalyse und Absturz-Reports oder personalisierte Werbung deaktivieren. Der digitale Anzeigenmarkt ist wie bei vielen Medienunternehmen für einen wesentlichen Teil der Einnahmen verantwortlich. Auch dank ihm können aufwändig recherchierte Artikel Lesern zugänglich gemacht werden.