App-Anbieter im Fokus: DSGVO-Recht auf Auskunft über personenbezogene Daten

Prof. Dr. Dominik Herrmann berichtet über Undercover-Feldforschung bei App-Anbietern

[datensicherheit.de, 21.10.2020] Die Otto-Friedrich-Universität Bamberg berichtet in ihrer aktuellen Meldung über „Informatiker im Undercover-Einsatz“: Demnach haben drei Forscher bei mehr als 200 Apps getestet, ob die Anbieter persönliche Nutzerdaten auf Anfrage herausgeben. Viele Anbieter hätten gar nicht geantwortet, manche seien nicht einmal erreichbar gewesen. Antworten seien ungenügend gewesen, etwa weil sie unverständlich strukturiert gewesen seien oder die Links zu den angeforderten Daten nicht funktioniert hätten.

Foto: Jürgen Schabel / Universität Bamberg

Prof. Dr. Dominik Herrmann: Informatiker legten fiktive Nutzerprofile an, so dass 225 App-Anbieter Zugang zu deren persönlichen Daten bekamen

Studie zeigt, dass viele App-Anbieter gesetzlicher Auskunftspflicht nicht nachkommen

Auch in der Wissenschaft gebe es verdeckte Ermittler: Mit sogenannter Undercover-Feldforschung hätten drei Informatiker der Universitäten Bamberg und Hamburg sowie der TU Berlin die Anbieter von Apps auf die Probe gestellt – sie wollten herausfinden, ob diese wie vorgeschrieben die persönlichen Nutzerdaten auf Anfrage herausgeben.
„Unsere Studie zeigt, dass viele Anbieter ihrer gesetzlichen Auskunftspflicht nicht nachkommen“, berichtet Prof. Dr. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen an der Universität Bamberg. Insgesamt hätten sie 225 „iOS“- und „Android“-Apps untersucht. „Bei den meisten Anbietern gab es etwas zu beanstanden.“ Die Studie sei im August 2020 auf der internationalen IT-Sicherheits-Konferenz „ARES 2020“ vorgestellt und als beste Einreichung mit dem „Best-Paper-Award“ ausgezeichnet worden.

App-Anbieter schweigen lieber – ein Fünftel antwortete nicht

Professor Herrmann, Jens Lindemann von der Universität Hamburg und Jacob Leon Kröger von der TU Berlin hätten die Verlaufsstudie mit dem Titel „How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps“ zwischen 2015 und 2019 durchgeführt. Für ihre „Undercover-Untersuchung“ hätten die Informatiker fiktive Nutzerprofile angelegt, so dass insgesamt 225 App-Anbieter Zugang zu diesen persönlichen Daten bekommen konnten.
Rund ein Drittel der Apps habe aus Deutschland gestammt, die anderen aus Ländern weltweit. In den Jahren 2015, 2018 und 2019 hätten die Wissenschaftler die Anbieter darum gebeten, ihnen die persönlichen gespeicherten Daten zu nennen. „Viele Anbieter – im Schnitt 20 Prozent – antworteten gar nicht, manche waren nicht einmal erreichbar“, erläutert Herrmann. Häufig seien die Antworten ungenügend gewesen, etwa weil sie unverständlich strukturiert gewesen seien oder die Links zu den angeforderten Daten nicht funktioniert hätten. „Ein Anbieter hat uns versehentlich sogar die sensiblen Daten einer anderen Person geschickt.“

Drei Viertel der App-Anbieter prüften nicht Identität des Antragstellers

Besonderes Augenmerk legten die Wissenschaftler nach eigenen Angaben auf die Unterschiede zwischen 2018 und 2019, da im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) eingeführt wurde, die unter anderem das Recht auf Auskunft über personenbezogene Daten konkretisiert. „Nach der Einführung erwarteten wir einen positiven Trend“, so Professork Herrmann. Stattdessen sei die Zahl der akzeptablen Antworten tendenziell eher noch zurückgegangen: „Von 53 Prozent im Jahr 2018 auf 41 Prozent im Jahr 2019.“
Eine Antwort sei für die Wissenschaftler akzeptabel gewesen, „wenn der Anbieter entweder die angeforderten Nutzerdaten schickte oder wenn er glaubwürdig begründen konnte, dass die Daten nicht mehr gespeichert waren“. Bedenklich findet das Forscherteam, „dass rund drei Viertel der Anbieter nicht die Identität der antragstellenden Person überprüften“. Positive Entwicklungen hätten die Forscher innerhalb der vier Jahre nur in einzelnen Bereichen festgestellt, „beispielsweise wurden den Anfragenden häufiger verständliche Daten zur Verfügung gestellt“.

Apps grundsätzlich mit Bedacht auswählen und möglichst wenig Persönliches preisgeben!

Auf die Frage, was Nutzer tun könnten, die nicht die gewünschte Auskunft erhalten, antwortet Herrmann: „Betroffene sollten sich an Datenschutzbehörden wenden, die derartige Verstöße verfolgen.“ Er empfehle außerdem, Apps grundsätzlich mit Bedacht auszuwählen und möglichst wenig Persönliches preiszugeben – oder gar falsche Angaben zu machen, sofern möglich.
Um die Vorschriften der DSGVO besser durchzusetzen, sieht das Forscherteam vor allem den Staat in der Pflicht: „Die zuständigen Aufsichtsbehörden benötigen mehr Budget und Personal, um ihre gesetzlich vorgesehene Aufgabe zu erfüllen. Sie könnten dann umfassende Stichprobenkontrollen durchführen oder branchenspezifische Richtlinien für Unternehmen erlassen. Idealerweise stellen uns App-Anbieter in Zukunft einheitliche und automatisierte Schnittstellen für solche Auskunftsanfragen zur Verfügung. Dadurch könnten sie auf die fehleranfällige manuelle Bearbeitung verzichten.“

Weitere Informationen zum Thema:

Jacob Leon Kröger, Jens Lindemann, Dominik Herrmann, 2020
How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps. ARES ’20: Proceedings of the 15th International Conference on Availability, Reliability and Security.

vimeo
ARES 2020 – How do App Vendors Respond to Subject Access Requests? A Longitudinal Privacy Study on iOS and Android Apps

Universität Bamberg
Digitale Geistes-, Sozial- und Humanwissenschaften

datensicherheit.de, 28.08.2020
Kontaktdaten: Risiken auch bei Erfassung mit Apps und Webservern