Wie viele Daten teilen eigentlich die Apps, die Millionen Menschen in ihrem Alltag nutzen, mit anderen Unternehmen? Eva Blum-Dumontet und Christopher Weatherhead von Privacy International wollten es genauer wissen und haben dazu den Datenverkehr von Zyklus-Apps analysiert. Auf dem heute beginnenden Hacker-Kongress des Chaos Computer Clubs in Leipzig stellen die beiden ihre Untersuchung vor. Eigentlich sollen Zyklus-Apps helfen, einen Überblick über die Periode zu haben. Frauen benutzen sie oft als eine Art Periodenkalender und um zu wissen, wann die Chance schwanger zu werden besonders hoch ist.
Auf dem Kongress ruft Blum-Dumontet die globale Hacker-Community zur Unterstützung auf, um den Datenschutz von Apps besser zu kontrollieren. Dafür hat Privacy International auch das Programm veröffentlicht, mit dem sie den Datenverkehr der Apps kontrolliert haben. Es lässt sich auf jede andere Android-App erweitern.
SZ: Was haben Sie herausgefunden, als Sie die Apps analysiert haben, die die Menstruation tracken?
Eva Blum-Dumontet: Die meisten Apps, die wir analysiert haben, fragen nicht nur nach Daten, die relevant für die Menstruation sind. Oft sollen Nutzerinnen auch angeben, wie ihr Gesundheitszustand ist oder ob sie aktuell Sex haben. In manchen Apps soll man eine Art Tagebuch schreiben, eine App fragt sogar, ob man masturbiert. Die abgefragten Informationen zählen zu den sensibelsten Daten, die man überhaupt über eine Person sammeln kann.
Warum ist es denn so ein Problem, dass diese Apps so viele Daten sammeln?
Daten von Schwangeren zählen zu den wertvollsten Daten überhaupt. Laut Studien sind die Daten einer schwangeren Frau in den USA rund 1,50 Dollar wert, die Daten einer normalen Nutzerin im Schnitt zehn Cent.
In der Schwangerschaft sind Menschen am wertvollsten für die Tracking-Tools der Werbeindustrie. Wenn sie zum ersten Mal Windeln kaufen, haben sie noch keine Lieblingswindeln. Das ist der Punkt, an dem Werbeunternehmen ansetzen und das sieht man sehr deutlich an den Zyklus-Apps. Eine der ersten Fragen, die sie den Nutzenden stellen, lautet: 'Wollen Sie schwanger werden?' Manchmal steht diese Frage sogar vor den Informationen über die Privatsphäre-Einstellungen.
Mit Hilfe einer Untersuchung des Datenverkehrs der Apps haben Sie herausgefunden, dass diese Apps nicht nur Daten sammeln, sondern sie auch mit Facebook teilen. Warum tun sie das?
Der Grund liegt in dem sogenannten Software Development Kit von Facebook. Das ist eine Art Programmierer-Baukasten, der es Entwicklern ermöglicht, Statistiken und Analysedaten darüber zu bekommen, wie ihre App benutzt wird. Etwa zu welcher Tageszeit die Nutzer die App verwenden oder ihren Wohnort. Facebook bezahlt nicht für diese Daten, die Apps geben sie dem Unternehmen umsonst - im Gegenzug für die Analysedaten, die sie von Facebook bekommen.
Brauchen die Apps dieses Entwicklerwerkzeug denn unbedingt?
Nein. Als wir den Unternehmen unsere Forschungsergebnisse vorgelegt haben, haben sie alle aufgehört, das entsprechende Programmierwerkzeug (Software Development Kit) zu benutzen.
Sind die Programmierer also einfach nur faul und verlassen sich auf die Baukastenlösung von Facebook?
Das würde ich nicht sagen. Das Problem ist eher, dass niemand die Benutzung des Tools hinterfragt. Die Öffentlichkeit ist grundsätzlich nicht darüber informiert, weil es einfach keine Möglichkeit gibt, davon zu wissen.
Warum präsentieren Sie Ihre Forschungsergebnisse ausgerechnet auf der Konferenz des Chaos Computer Clubs? Hier werden die meisten doch über Datenschutz Bescheid wissen.
Wir können uns nicht jede App anschauen, dafür brauchen wir die Unterstützung der globalen Hacker-Szene. Deshalb haben wir auch das Programm veröffentlicht, mit dem wir die Apps analysiert und getestet haben. Jeder kann es nutzen.
Außerdem sind viele der Besucher hier zwar in ihrer Freizeit Hacker, aber sie arbeiten potenziell auch tagsüber als Programmierer. Wenn Leute von der Konferenz aus Leipzig zurück in ihr Büro kommen und dafür sorgen, dass ihre Produkte möglichst wenig Daten teilen, dann ist das auch ein Erfolg.
Was sollen die Entwickler dieser Apps denn besser machen?
Die Entwickler sollten es sich zweimal überlegen, ob sie das Entwicklerprogramm von Facebook benutzen. Außerdem sollten sie ihre Apps so voreinstellen, dass sie möglichst wenig Daten teilen. Nur die Daten, die wirklich notwendig sind, sollten auch gespeichert werden. Wenn die Daten nicht wichtig für das Nutzererlebnis sind, dann sollten sie gar nicht erst gesammelt werden.