Usercentrics verwendete für die Analyse der 250 Apps das Tool “SDK Intelligence Insights” von Apptopia, wobei SDK für Software Development Kit steht – eine Hilfestellung für Entwickler. Die Software von Apptopia soll seinen Nutzern ermöglichen, Download-, Umsatz- und Nutzungszahlen sowie besagte SDK-Daten von mobilen Apps einzusehen. Dafür liest sie in einer App installierte Tracker von Drittanbietern aus. Insbesondere Werbe-, Analyse- und Attributions-SDKs erfassen Daten wie IP-Adresse, IDFA, Gerätestandort und andere User-Daten. Diese SDKs beginnen mit der Datenerfassung, sobald die App gestartet wird – dafür benötigen sie jedoch laut Gesetz die Zustimmung (den Consent) des Nutzers.

Untersucht wurden ausschließlich Apps, die Tracker von Drittanbietern zum Zweck der Analyse, Attribution, Monetarisierung und/oder Marketing installiert hatten. Außerdem mussten die Apps mindestens 50.000 täglich aktive Nutzer in der EU aufweisen. Jede der Applikationen wurde im Rahmen des Tests auf Geräte innerhalb der EU heruntergeladen, um zu überprüfen, ob eine Consent-Management-Plattform (CMP) installiert ist, damit User die Möglichkeit erhalten, die eingebetteten Tracking-Technologien abzulehnen und so personenbezogene Daten privat zu halten. War in der App ein Einwilligungsbanner einer CMP zu sehen, kam es darüber hinaus darauf an, ob es den gesetzlichen Standards entsprach.

Es zeigt sich, dass neun von zehn der untersuchten Apps personenbezogene Daten von Nutzern erheben können, ohne dass diese eingewilligt haben. Dies stellt somit einen klaren Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) und die E-Privacy-Richtlinie dar. Bei den Lebensmittel-Angeboten ist der Datenschutz noch am besten: 84 Prozent der Apps aus dieser Kategorie entsprechen nicht den Vorgaben der DSGVO, bei den Finanz-Apps (Platz zwei) sind es 86 Prozent. Unrühmliches Schlusslicht sind die Glücksspiel-Angebote. 100 Prozent der Anwendungen in dieser Kategorie halten die Vorgaben der DSGVO nicht ein. Allerdings gibt es im gesamten App-Kosmos viele unseriöse Apps, sodass das Ergebnis vielleicht nicht unbedingt überraschen mag und auch mit der Auswahl der untersuchten Apps zusammenhängen könnte.

“Die Ergebnisse dieses Berichts zeigen deutlich, was wahrscheinlich der größte ‚Elefant im Raum‘ in der App-Branche ist: Die meisten Apps sind noch weit davon entfernt, die DSGVO und die E-Privacy-Richtlinie korrekt umzusetzen. Und das, obwohl die Nutzer einen Großteil ihrer Zeit in Apps verbringen, wo letztlich die meisten PII-Daten [Persönlich identifizierbare Informationen] gesammelt werden – in den meisten Fällen immer noch ohne ausdrückliche Einwilligung”, erklärt Valerio Sudrio, Global Director Apps Solutions bei Usercentrics.

Takeaways