Einige Anbieter von Android-Apps verstoßen gezielt gegen Werberichtlinien und greifen die Daten ihrer Nutzer ab. Das betrifft sogar sehr populäre Apps, die mehrere Hundert Millionen Smartphonebesitzer weltweit aufgespielt haben. Google hat eindeutige Richtlinien für den Umgang mit den Nutzerdaten erlassen, die permanent unterlaufen werden.

Verstoß gegen Werberichtlinien von Google

Die Untersuchung des Datendiebstahls fand schon 2018 statt. Google reagierte über mehrere Monate nicht auf die erhobenen Vorwürfe. Erst Anfang 2019 positionierte sich der Konzern: Er will nun gegen die App-Betreiber und ihre unzulässige Masche vorgehen. Dabei sind die aufgestellten Regeln eindeutig: Apps dürfen nicht die unveränderlichen Geräteangaben der Nutzer an die Werbekunden weitergeben. Das hat Google klar verboten. Dennoch lesen wohl mehreren Zehntausend Android-Apps diese Angaben aus und leiten sie anschließend an Werbekunden weiter. Herausgefunden hat das in einer unabhängigen Untersuchung die Forschungseinrichtung Appcensus mit Sitz in Berkeley (Kalifornien). Basis der Untersuchung war eine Datenbank mit 24.000 Android-Apps. Diese fragen die Werbe-ID für das nutzende Smartphone ab. Das ist so weit in Ordnung, doch über 18.000 dieser Apps – also 75 % – greifen laut der vorliegenden Studie zusätzliche Identifizierungsmerkmale ab. Das Auslesen der Werbe-ID ist zulässig. Es soll ermöglichen, dass ein Smartphone-Nutzer auf sein Gerät personalisierte Werbung erhält. Dabei soll er aber nicht selbst identifiziert werden. Um das zu gewährleisten, dürfen weitere Daten nicht übertragen werden. Das sind: 

  • die IMEI (Seriennummer),
  • die SSAID (Android-ID) sowie
  • Mac-Adressen von Routern.

Diese Gerätedaten sind kaum oder überhaupt nicht veränderbar. Sie ermöglichen daher die Identifizierung des Nutzers. Die Werbe-ID hingegen kann dieser wie ein Browser-Cookie jederzeit zurücksetzen, er kann auch ihre Übertragung generell deaktivieren. 

Unterlaufen des Datenschutzes

Wenn eine App zusammen mit der Werbe-ID unveränderliche Identifikationsmerkmale überträgt, unterläuft sie ein wichtiges Datenschutz-Feature. Auch neu generierte IDs lassen sich mit diesen Daten nämlich wieder eindeutig dem betreffenden Nutzer zuordnen. Dieser wird gläsern: Ein Werbeunternehmen kann ihn inklusive seiner konstanten oder wechselnden Vorlieben permanent durchleuchten. Wie gravierend das Problem ist, zeigen die prominentesten Apps, welche die kalifornische Studie untersucht hat. Das sind zum Beispiel sehr populäre Applikationen wie Subway Surfers oder Clean Master, die schon über eine Milliarde Nutzer installiert haben. Auch sie verstoßen gegen die Werberichtlinien von Google, die der Gesetzgebung in den meisten Staaten entsprechen. In den Google-Richtlinien heißt es hierzu, dass die Werbe-ID nur dann zusammen mit konstanten Geräte-IDs oder personenbezogenen Daten übertragen werden dürfen, wenn der Nutzer dem ausdrücklich zugestimmt hat. 

Kritik an Google

Einer der Forscher von Appcensus – Serge Egelman – kritisiert, dass Google nicht klar beantworten kann, wie gegen den Datenklau vorgegangen werden soll. Dabei wisse der Konzern seit September 2018 von den Untersuchungsergebnissen. Ein Google-Sprecher positionierte sich indes gegenüber dem US-Computermagazin Cnet. Er verwies auf das eindeutige Google-Verbot der gleichzeitigen Übertragung von Gerätekennungen und Werbe-ID und den daraus abgeleiteten Versuch, Anzeigen zu personalisieren. Man überprüfe aber ständig die Apps, nehme auch den Untersuchungsbericht sehr ernst und werde entsprechende Maßnahmen ergreifen. Diese dürften in der Verbannung der Apps aus Google Play bestehen. Google hat aber das Problem, dass der Vorgang unbemerkt geschieht, wenn die Apps keine Daten an Admob – das Werbenetzwerk von Google – schicken. Damit dürfte das Problem nicht so einfach zu beheben sein.